Upload
others
View
11
Download
0
Embed Size (px)
Citation preview
ESCUELA POLITÉCNICA NACIONAL
FACULTAD DE INGENIERÍA DE SISTEMAS
DISEÑO DE UN PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN PARA INSTITUCIONES PÚBLICAS ECUATORIANA S
PROYECTO PREVIO A LA OBTENCIÓN DEL TÍTULO DE INGENI ERO EN
SISTEMAS INFORMÁTICOS Y DE COMPUTACIÓN
CHICAIZA JAMI PAOLA ELIZABETH
DÍAZ VILLAFUERTE ALEX VINICIO
DIRECTOR: MSC. ING. DENYS ALBERTO FLORES ARMAS
Quito, Abril 2014
i
DECLARACIÓN
Nosotros, Paola Elizabeth Chicaiza Jami y Alex Vinico Díaz Villafuerte, declaramos
bajo juramento que el trabajo aquí descrito es de nuestra autoría; que no ha sido
previamente presentado para ningún grado o calificación profesional; y, que hemos
consultado las referencias bibliográficas que se incluyen en este documento.
A través de la presente declaración cedemos nuestros derechos de propiedad
intelectual correspondiente a este trabajo, a la Escuela Politécnica Nacional, según lo
establecido por la Ley de Propiedad Intelectual, por su Reglamento y por la
normatividad institucional vigente.
Paola Elizabeth
Chicaiza Jami
Alex Vinicio
Díaz Villafuerte
ii
CERTIFICACIÓN
Certifico que el presente trabajo fue desarrollado por Paola Elizabeth Chicaiza Jami y
Alex Vinicio Díaz Villafuerte, bajo mi supervisión.
Msc. Ing. Denys Alberto Flores Armas
DIRECTOR DE PROYECTO
iii
AGRADECIMIENTOS
Agradezco a mis padres y hermanos por el ejemplo, respeto, perseverancia
enseñándome lo más importante de la vida a estar unidos aun en los momentos
difíciles y a no decaer ante las adversidades, a mis tíos y padrinos que me brindaron
apoyo cuando lo necesitaba, a mis amigos que compartieron mis alegrías y tristezas,
a Alex que me apoyo en todo momento, al Ing. Denys Flores por la buena
predisposición de guiarnos en el trascurso de este proyecto, al Ing Andres Larco por
demostrar que a más de ser un buen profesor es un gran amigo, y por último
agradecer a la vida por permitirme compartir amor y cariño junto a las personas que
me rodean en este hermoso país llamado Ecuador
Paola Elizabeth Chicaiza
iv
AGRADECIMIENTOS
Agradezco a Dios por bendecirme con salud y permitirme alcanzar mis metas,
agradezco a mi madre por su amor incondicional y su esfuerzo por darme siempre lo
mejor y a mi padre por ser siempre mi apoyo en momentos difíciles. Agradezco a mis
abuelitas quienes han sido ejemplo de dulzura, esfuerzo y honradez. Agradezco al
Ing. Denys Flores por sus buenos consejos y su guía durante el desarrollo del
presente proyecto. También agradezco a mis buenos amigos que en las aulas y
fuera de ellas han sabido compartir conmigo buenos y malos ratos. Finalmente
quiero agradecer a Paola, quien ha estado a mi lado durante los últimos cuatro años,
por su comprensión, cariño y dedicación.
Alex Vinicio Díaz
v
DEDICATORIA
Dedico este presente a mis padres, hermanos, tíos, padrinos por el apoyo
incondicional en todo momento.
Paola Elizabeth Chicaiza
vi
DEDICATORIA
Dedico el presente trabajo a mis padres y abuelitas por la fuerza e inspiración que
me han brindado para salir siempre adelante a pesar de los problemas.
Alex Vinicio Díaz
vii
ÍNDICE DE CONTENIDO
DECLARACIÓN ............................................................................................................ i
CERTIFICACIÓN ......................................................................................................... ii
AGRADECIMIENTOS ................................................................................................. iii
AGRADECIMIENTOS ................................................................................................. iv
DEDICATORIA ............................................................................................................. v
DEDICATORIA ............................................................................................................ vi
ÍNDICE DE CONTENIDO ........................................................................................... vii
ÍNDICE DE FIGURAS ................................................................................................. xi
ÍNDICE DE TABLAS .................................................................................................. xii
RESUMEN .................................................................................................................. 1
INTRODUCCIÓN ........................................................................................................ 3
CAPITULO 1. GENERALIDADES DEL PROYECTO ............................................... 5
1.1 LA PROBLEMÁTICA DE LA SEGURIDAD DE LA INFORMACIÓN EN LAS
INSTITUCIONES PÚBLICAS DEL ECUADOR ........................................................ 5
1.1.1 IV ENCUESTA LATINOAMERICANA DE SEGURIDAD DE LA
INFORMACIÓN .................................................................................................... 5
1.1.2 ANTECEDENTES DE FALLAS EN LA SEGURIDAD DE LA
INFORMACIÓN EN INSTITUCIONES PÚBLICAS ............................................ 12
1.1.3 MARCO LEGAL Y JURÍDICO DE LA SEGURIDAD DE LA
INFORMACIÓN EN EL ECUADOR.................................................................... 15
1.1.4 REFLEXIONES FINALES ...................................................................... 27
1.2 DESCRIPCIÓN DE LA GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN,
SEGÚN LA NORMA NTE INEN-ISO/IEC 27000:2012 .......................................... 28
viii
1.2.1 DESCRIPCIÓN DE LA NORMA NTE INEN-ISO/IEC 27000:2012 ........ 28
1.2.2 COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC 27000:2012 CON
RESPECTO A OTROS MARCOS DE TRABAJO .............................................. 33
1.3 JUSTIFICACIÓN DE SELECCIÓN DEL CASO DE ESTUDIO ..................... 45
1.3.1 JUSTIFICACIÓN DE LA SELECCIÓN DEL ILUSTRE MUNICIPIO DEL
CANTÓN RUMIÑAHUI COMO CASO DE ESTUDIO ......................................... 45
CAPITULO 2. ANÁLISIS DEL ESTADO ACTUAL DE LAS SEGURIDADES DE LA
INFORMACIÓN EN EL CASO DE ESTUDIO ............................................................ 51
2.1 ANÁLISIS DE LAS SEGURIDADES DE LA INFORMACIÓN EN EL
DEPARTAMENTO DE TECNOLOGÍA DE LA INSTITUCIÓN SELECCIONADA .. 51
2.1.1 CARACTERIZACIÓN DEL ILUSTRE MUNICIPIO DEL CANTÓN
RUMIÑAHUI ....................................................................................................... 51
2.1.2 ESTADO DE CUMPLIMIENTO DE LOS CONTROLES IMPLANTADOS
CON RESPECTO A LOS CONTROLES DE LA NORMA NTE INEN-ISO/IEC
27001 59
2.2 DISCUSIÓN DE PROBLEMAS ENCONTRADOS Y POSIBLES
SOLUCIONES ....................................................................................................... 62
CAPITULO 3. DEFINICIÓN DEL PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN PARA EL CASO DE ESTUDIO ....................................................... 67
3.1 DESCRIPCIÓN DE ALFRESCO COMO HERRAMIENTA DE APOYO EN LA
DEFINICIÓN DEL PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN ..................................................................................................... 67
3.1.1 DEFINICIÓN Y FUNCIONALIDADES DE ALFRESCO ......................... 68
3.1.2 ESTRUCTURA SGSI EN EL REPOSITORIO ALFRESCO ................... 69
3.2 SELECCIÓN DE LOS CONTROLES DE SEGURIDAD ADECUADOS, DE
ACUERDO A LA NORMA NTE INEN-ISO/IEC 27002:2009 .................................. 70
3.2.1 IDENTIFICACIÓN DE ACTIVOS ........................................................... 70
ix
3.2.2 ANÁLISIS DE VULNERABILIDADES LÓGICAS ................................... 73
3.2.3 ANÁLISIS DE VULNERABILIDADES FÍSICAS ..................................... 77
3.2.4 EVALUACIÓN Y TRATAMIENTO DE RIESGOS .................................. 79
3.2.5 CONCLUSIONES ................................................................................ 101
3.3 ELABORACIÓN DEL PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN PARA LA INSTITUCIÓN SELECCIONADA .............................. 102
3.3.1 DESCRIPCIÓN DEL PLAN DEL SGSI ................................................ 102
3.3.2 DESCRIPCIÓN DE LOS ENTREGABLES .......................................... 107
CAPITULO 4. EVALUACIÓN DE APLICABILIDAD DEL PLAN DE GESTIÓN DE
SEGURIDADES DE LA INFORMACIÓN EN EL CASO DE ESTUDIO ................... 113
4.1 JUSTIFICACIÓN DE APLICABILIDAD DEL PLAN .................................... 113
4.2 IDENTIFICACIÓN DE RESTRICCIONES PARA IMPLEMENTAR EL PLAN
120
4.2.1 RESTRICCIONES DE TIEMPO ........................................................... 121
4.2.2 RESTRICCIONES FINANCIERAS ...................................................... 122
4.2.3 RESTRICCIONES TÉCNICAS ............................................................ 122
4.2.4 RESTRICCIONES DE PERSONAL ..................................................... 122
4.2.5 RESTRICCIONES PARA INTEGRAR CONTROLES NUEVOS Y
EXISTENTES ................................................................................................... 123
4.3 IDENTIFICACIÓN DE SOLUCIONES PARA IMPLEMENTAR EL PLAN ... 123
4.3.1 SOLUCIONES DE TIEMPO ................................................................ 123
4.3.2 SOLUCIONES FINANCIERAS ............................................................ 124
4.3.3 SOLUCIONES TÉCNICAS .................................................................. 124
4.3.4 SOLUCIONES PARA EL PERSONAL ................................................. 124
4.3.5 SOLUCIONES PARA INTEGRAR CONTROLES NUEVOS CON
CONTROLES EXISTENTES ............................................................................ 125
x
4.4 ANÁLISIS DE FACTIBILIDAD PARA IMPLEMENTAR EL PLAN EN LA
SITUACIÓN ACTUAL DE LA INSTITUCIÓN ....................................................... 125
4.4.1 FACTIBILIDAD TÉCNICA .................................................................... 126
4.4.2 FACTIBILIDAD OPERATIVA ............................................................... 127
4.4.3 FACTIBILIDAD ECONÓMICA ............................................................. 128
4.5 GUÍA DE IMPLEMENTACIÓN ................................................................... 131
CAPITULO 5. CONCLUSIONES Y RECOMENDACIONES ................................ 135
5.1 CONCLUSIONES....................................................................................... 135
5.2 RECOMENDACIONES .............................................................................. 138
BIBLIOGRAFÍA ....................................................................................................... 140
ANEXOS ................................................................................................................. 144
xi
ÍNDICE DE FIGURAS
Figura 1-1 – Relaciones del Grupo de Normas SGSI ................................................ 30
Figura 1-2 – Actividades de la Gestión de Incidentes de ITIL ................................... 34
Figura 2-1 - Diagrama de la Estructura Orgánica por Procesos ................................ 53
Figura 2-2 - Diagrama de la Estructura Orgánica de la Dirección de Tecnologías de la
Información y Comunicaciones ................................................................................. 55
Figura 3-1 – Pantalla de Ingreso a los Módulos del Sistema SIGAG ........................ 72
Figura 3-2 – Cuadro de Evaluación del Riesgo ......................................................... 80
Figura 3-3 – Modelo PHVA Aplicado a los Procesos del SGSI ............................... 102
Figura 3-4 – Fases del Plan de Gestión de Seguridades de la Información según la
Norma NTE INEN-ISO/IEC 27003:2012 .................................................................. 104
Figura 4-1 – Guía De Implementación del Plan de Seguridad de la Información .... 134
xii
ÍNDICE DE TABLAS
Tabla 1-1 - Porcentaje de Participación por País ........................................................ 7
Tabla 1-2 - Porcentaje de Participación por Sector ..................................................... 8
Tabla 1-3 - Porcentaje de Evaluaciones al Año........................................................... 9
Tabla 1-4 - Porcentaje de Utilización de Mecanismos de Seguridad ........................ 11
Tabla 1-5 - Porcentaje de Utilización de Medios de Información ............................... 12
Tabla 1-6 - Cuadro comparativo de la norma NTE INEN-ISO/IEC 27001:2011
respecto a las leyes y normativas ecuatorianas ........................................................ 26
Tabla 1-7 – Mapeo entre los Objetivos de Control de COBIT y los Controles de la
Norma INEN-ISO/IEC 27001 ..................................................................................... 42
Tabla 1-8 – FODA de la Seguridad de la Información en el Ilustre Municipio de
Rumiñahui ................................................................................................................. 47
Tabla 1-9 – Controles para Cubrir las Debilidades del Ilustre Municipio de Rumiñahui
.................................................................................................................................. 49
Tabla 1-10 – Controles para Cubrir las Amenazas del Ilustre Municipio de Rumiñahui
.................................................................................................................................. 50
Tabla 2-1 - Responsables de la Dirección de Tecnologías de la Información y
Comunicaciones ........................................................................................................ 59
Tabla 2-2 – Ejemplo de Evaluación del Cumplimiento de un Control de la Norma NTE
INEN-ISO/IEC 27001 ................................................................................................ 60
Tabla 2-3 – Resumen de la Evaluación del Cumplimiento por Dominio .................... 61
Tabla 3-1 – Principales Activos que Soportan el Sistema SIGAG ............................. 72
Tabla 3-2 – Vulnerabilidades Lógicas Encontradas en la Dirección de Tecnologías de
la Información y Comunicaciones .............................................................................. 73
Tabla 3-3 – Asociación entre Amenazas y Vulnerabilidades Lógicas ....................... 77
Tabla 3-4 - Vulnerabilidades Físicas Encontradas en la Dirección de Tecnologías de
la Información y Comunicaciones .............................................................................. 77
Tabla 3-5 - Asociación entre Amenazas y Vulnerabilidades Lógicas ........................ 79
Tabla 3-6 – Evaluación del Riesgo ............................................................................ 88
xiii
Tabla 3-7 – Tratamiento del riesgo .......................................................................... 100
Tabla 3-8 – Mapeo entre Entregables ..................................................................... 107
Tabla 4-1 – Estado de Cumplimiento Actual y Esperado por Dominio .................... 114
Tabla 4-2 - Resultados de la Encuesta ................................................................... 120
Tabla 4-3 – Requisitos Básicos para el Sistema Alfresco ....................................... 126
Tabla 4-4 – Equipos Requeridos Contra Acceso Físico no Autorizado y Amenazas
Ambientales ............................................................................................................. 127
Tabla 4-5 – Recursos Económicos Estimados Para la Implementación del Plan de
Seguridad ................................................................................................................ 129
Tabla 4-6 – Recursos Económicos Estimados Para la Implementación del Plan de
Seguridad ................................................................................................................ 131
1
RESUMEN
El presente proyecto de titulación está conformado por cinco capítulos que abarcan
las temáticas de: generalidades del proyecto, análisis del estado actual de las
seguridades en el caso de estudio, definición del plan de gestión de seguridades de
la información para el caso de estudio, evaluación de aplicabilidad del plan de
gestión de seguridades de la información en el caso de estudio y finalmente las
conclusiones y recomendaciones del proyecto.
El Capítulo 1 contiene una descripción de la problemática de la seguridad de la
información en las instituciones públicas ecuatorianas, para ello se hace referencia a
una encuesta realizada a nivel de América Latina por organizaciones internacionales,
posteriormente se presentan algunos antecedentes de las instituciones públicas que
han estado involucradas en incidentes de seguridad de la información. Además, se
analiza las leyes y normativas vigentes del Ecuador haciendo énfasis en la temática
de la seguridad de la información. Este capítulo también presenta un resumen de la
norma NTE INEN-ISO/IEC 27000 y una comparación entre esta norma y otros
marcos de trabajo como ITIL, COBIT, MAGERIT y OCTAVE. Para finalizar se
justificará la selección del caso de estudio, que para el presente proyecto de
titulación será el Ilustre Municipio del Cantón Rumiñahui.
El Capítulo 2 se centra en el análisis del estado actual de la seguridad de la
información en el departamento de tecnologías de la información de la institución
seleccionada como caso de estudio, para ello se propone la utilización de la matriz
de evaluación de estado de cumplimiento elaborada por los autores. Además, se da
a conocer información sobre cómo está organizada la institución y cómo se
encuentra gestionando actualmente la seguridad de la información.
El Capítulo 3 define el Plan de Gestión de Seguridades de la Información, para lo
cual se inicia con la definición de un procedimiento para el manejo de documentos
del SGSI a través de la herramienta Alfresco, posteriormente se procede a la
2
identificación del activo de información crítico para la Institución, a partir del cual se
identifica sus vulnerabilidades lógicas y físicas y las amenazas mediante un hackeo
ético no intrusivo. Con los datos obtenidos se procede con la evaluación y
tratamiento del riesgo. Para finalizar se elabora las políticas de seguridad que
conforman el Plan de Gestión de Seguridades de la Información.
El Capítulo 4 evalúa la aplicabilidad del Plan de Gestión de Seguridades de la
Información propuesto, para justificar la implementación de controles de seguridad
basándose en la identificación de condiciones tales como restricciones, tiempo,
presupuesto y personal necesarios para el logro de los objetivos establecidos. Se
incluye un análisis de factibilidad técnica, operática y económica que presenta un
estimado de los recursos que deberán estar disponibles para la implementación del
plan.
El Capítulo 5 contiene las conclusiones y recomendaciones obtenidas a lo largo del
desarrollo del proyecto.
3
INTRODUCCIÓN
En la actualidad las Instituciones Públicas del Ecuador se han visto afectadas por
ataques graves a la información que en ellas se maneja, dando como resultado una
serie de perjuicios para la sociedad entera. Esto se debe a la ausencia o
incumplimiento de controles, normas o políticas para la protección de la información.
Tal es el caso que, en el año 2012, se registró un robo de 5,4 millones de dólares en
el Ministerio del Ambiente debido a un manejo indebido en la privacidad de las
claves, tanto de la tesorería como de la parte contable [1]. Otro caso conocido a nivel
nacional fue el robo de la base de datos de firmas del Consejo Nacional Electoral,
para ser vendidas a organizaciones políticas, evidenciando una falta de controles de
seguridad en el manejo de información sensible [2].
Por lo tanto, el presente proyecto busca establecer un Plan de Gestión de
Seguridades de la Información, de acuerdo a la realidad de una institución pública
ecuatoriana, y así, establecer una línea base para otras instituciones públicas que
deseen mejorar la gestión de las seguridades de la información dentro de sus
respectivas necesidades organizacionales. Además, considerando que la Ley
Orgánica de Empresas Públicas del Ecuador apoya el uso de sistemas informáticos
basados en software no propietario, la producción de la documentación del Plan de
Gestión de Seguridades de la Información en este proyecto va a estar apoyada por la
herramienta de software libre Alfresco. Como resultado, este proyecto de titulación se
proyecta como un referente en la Planeación de Gestión de Seguridades de la
Información con apoyo de herramientas especializadas libres, cumpliendo con la
legislación nacional.
El proyecto comienza con la selección de la Institución Pública que servirá como
Caso de Estudio, posteriormente se analizará el estado actual de la Seguridad de la
Información en el Departamento de Tecnología de la institución seleccionada,
considerando los Objetivos de Control de la norma NTE INEN-ISO/IEC 27001:2011.
A partir de esto se procederá a seleccionar los controles de los dominios de la norma
4
NTE INEN-ISO/IEC 27002:2009 a ser aplicados, considerando las necesidades más
urgentes identificadas en el análisis anterior. Luego se definirá un Plan de Gestión de
Seguridades de la Información, que solvente las necesidades de seguridad
identificadas, apoyado por la herramienta Alfresco. Finalmente se evaluará la
aplicabilidad del Plan dentro del Departamento de Tecnología.
El entregable final de este proyecto es el Diseño de un Plan de Gestión de
Seguridades de la Información, por lo tanto, la implementación, verificación, revisión
y mejora de éste, estarán sujetas al criterio de la Institución que se seleccione como
Caso de Estudio, y por lo tanto fuera del alcance de este proyecto.
5
CAPITULO 1. GENERALIDADES DEL PROYECTO
En este capítulo se realizará una descripción acerca de la problemática de la
seguridad de la información en las instituciones públicas del Ecuador, tomando
como referencia encuestas realizadas en América Latina por organizaciones
internacionales. Además se analizará las leyes y normativas vigentes del Ecuador
haciendo énfasis en la temática de la seguridad de la información.
A continuación se presentará un resumen de la norma NTE INEN-ISO/IEC 27000 y la
familia de normas del Sistema de Gestión de la Seguridad de la Información (SGSI)1
que la conforman. Posteriormente se procederá a realizar una comparación entre la
norma NTE INEN-ISO/IEC 27000 y otros marcos de trabajo como ITIL, COBIT,
MAGERIT y OCTAVE.
Para finalizar se justificará la selección del caso de estudio, que para el presente
proyecto de titulación será el Ilustre Municipio del Cantón Rumiñahui.
1.1 LA PROBLEMÁTICA DE LA SEGURIDAD DE LA INFORMACIÓN
EN LAS INSTITUCIONES PÚBLICAS DEL ECUADOR
En la actualidad la seguridad de la información ha ido ganando importancia a nivel
mundial, específicamente en el Ecuador las instituciones públicas tienen la obligación
de cumplir varias leyes y normativas nacionales en cuanto a la seguridad de la
información.
Para conocer acerca de la problemática de la seguridad de la información a nivel de
Latinoamérica se hará un análisis basado en la IV Encuesta Latinoamericana de
Seguridad de la Información [3], con un enfoque centrado en el Ecuador.
1.1.1 IV ENCUESTA LATINOAMERICANA DE SEGURIDAD DE LA
INFORMACIÓN
1 Un SGSI es parte de todo el sistema de gestión, basado en un enfoque de riesgo del negocio, para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información [16].
6
Para analizar que avances existen en cuanto a la seguridad de la Información en
Latinoamérica se llevó a cabo una encuesta, la cual fue realizada por:
• Asociación de Colombiana de Informática en Sistemas (ACIS)
• Centro de Atención de Incidentes de Seguridad y Telecomunicaciones
(ANTEL) de Uruguay
• ISACA Buenos Aires
• ISACA Perú
Estas encuestas fueron realizadas aleatoriamente a profesionales de tecnologías de
información en países como Argentina, Colombia, Perú, Uruguay entre otros a través
de una página web.
Los resultados obtenidos sirvieron para análisis básicos que permitieron tener una
visión acerca de la seguridad de la información, además considerando estudios
internacionales como Global State of Information Security Survey 2012 [3], Quarterly
Report 2012 [3] entre otros.
La Tabla 1-1 presenta una comparación entre las encuestas realizada desde el año
2009 hasta el año 2012, con el fin de apreciar el porcentaje de participación de los
países.
Países Participantes 2009 2010 2011 2012
Argentina 6.50 % 12.7% 17% 23.33%
Chile 8.80% 0% 2% 2.50%
Colombia 65.04% 58.90% 60% 42.22%
Costa Rica 0% 0% 0% 7.50%
México 12.20% 10.30% 5% 5.00%
Uruguay 7.10% 6.07% 3% 1.39%
Paraguay 0% 6.38% 0% 2.80%
7
Países Participantes 2009 2010 2011 2012
Perú 0% 0.00% 0% 15.00%
Otros Países:
Cuba, Ecuador , Panamá,
Portugal
Puerto Rico, Venezuela
0% 5.50% 13% 2.78%
Tabla 1-1 - Porcentaje de Participación por País [3]
En la Tabla 1-1 se puede ver que en el año 2011 hubo un mayor porcentaje de
participación de Ecuador en la encuesta en relación a los otros años, para el año
2012 ocurre una significativa reducción de dicho porcentaje, esto puede deberse a:
• Desinterés por parte de los profesionales ecuatorianos en temáticas
relacionadas con la Seguridad de la Información
• La realización de la encuesta no fue suficientemente publicitada y difundida,
por ejemplo en redes sociales que podrían haber servido para incentivar la
participación en Ecuador
• La inclusión de profesionales de países como Perú y Costa Rica, que
participaron en gran número, provocaron que los porcentajes se redistribuyan,
es decir que la cantidad de participantes de Ecuador y otros países no
necesariamente se redujo en relación con el año 2011
Con estos planteamientos se tiene claro que la participación de Ecuador es baja,
pero aun así se consideran interesantes los resultados estadísticos que brinda la
encuesta, los cuales se pueden asumir como una realidad en los países
latinoamericanos.
La Tabla 1-2 presenta los sectores participantes en la encuesta durante los cuatro
años que ésta ha sido realizada.
Sectores Participantes 2009 2010 2011 2012
Servicios Financieros y 11.70 % 16.71% 15.56% 19.17%
8
Sectores Participantes 2009 2010 2011 2012
Banca
Construcción/Ingeniería 4.34% 3.64% 2.22% 1.94%
Telecomunicaciones 13.60% 6.07% 13.61% 7.22%
Sector de Energía 2.40% 4% 1.67% 4.17%
Salud 3.20% 3.34% 3.33% 3.89%
Alimentos 1.20% 0.91% 1.67% 0.28%
Educación 13.60% 12.76% 16.11% 10.00%
Gobierno/Sector Público 12.30% 14.58% 13.61% 15.00%
Manufactura 3.80% 5.16% 1.94% 3.06%
Consultoría
especializada
12.30% 14.58% 13.33% 17.78%
Otros sectores:
Asegurador, Logística,
Farmacéutico,
Informática, Desarrollo
de Software, Transporte
- 18.25% 16.95% 17.49%
Tabla 1-2 - Porcentaje de Participación por Sector [3]
Los resultados de la Tabla 1-2 muestran que uno de los sectores de mayor
participación en la encuesta fue el sector público, se puede asumir que esto se debe
a que las leyes y normativas de sus respectivos países obligan a implementar
controles de seguridad para el resguardo de la información. Además las instituciones
públicas cuentan con mayores recursos económicos que les permiten la contratación
de asesoría especializada en aspectos de la seguridad de la información.
Un aspecto importante es conocer cuáles son las herramientas y prácticas de
seguridad más utilizadas por los profesionales que participaron en la encuesta, este
tema se abarca con mayor profundidad en el siguiente punto.
1.1.1.1 Herramientas y Prácticas de Seguridad
Las herramientas y prácticas de seguridad tienen por objetivo la protección de los
activos de información de las organizaciones, es necesaria la concientización de las
9
organizaciones sobre la importancia de la identificación y tratamiento de riesgos,
para de esta manera garantizar la continuidad del negocio y la confianza por parte de
los clientes.
1.1.1.1.1 Cantidad de pruebas de seguridad realizadas
Se determinó que entre las prácticas de seguridad, para la protección de los activos
de información, está la cantidad de pruebas de seguridad realizadas por las
empresas durante un año.
La Tabla 1-3 presenta los porcentajes de evaluaciones de seguridad anuales durante
los 4 años que la encuesta se ha realizado.
Evaluaciones al año 2009 2010 2011 2012
Una al año 30.30% 30.30% 40.00% 33.33%
Entre 2 y 4 al año 29.10% 26.74% 23.00% 24.44%
Más de 4 al año 14.70% 9.11% 7.00% 11.38%
Ninguna 25.90% 20.36% 30.00% 24.16%
En blanco - 13.37% - 6.66%
Tabla 1-3 - Porcentaje de Evaluaciones al Año [3]
Se puede apreciar que para el año 2012, el 24.16% de los participantes aseguran
que no se realiza ninguna prueba de seguridad en el año, lo que demuestra la poca
importancia que las organizaciones le dan al descubrimiento y tratamiento de los
riesgos. Por otro lado, solo un 11.38% de los participantes del año 2012, responden
que su organización realiza más de cuatro pruebas de seguridad en el año.
En conclusión, al no realizarse pruebas de seguridad, no se está identificando las
vulnerabilidades de las empresas y por consiguiente se deduce que a nivel de
Latinoamérica las empresas están aceptando de manera inconsciente los riesgos
ligados a la información que manejan.
10
1.1.1.1.2 Mecanismos de Seguridad
La encuesta solicitó a los participantes responder sobre cuáles son los principales
mecanismos de seguridad utilizados en sus organizaciones, los resultados sobre
este tema se presentan en la Tabla 1-4.
Mecanismos de Seguridad 2009 2010 2011 2012
Smart Cards 14.40% 2.25% 1.99% -
Biométricos (huella digital, iris,
etc)
25.60% 2.63% 3.64% 31.11%
Antivirus 86.30% 11.04% 11.07% 84.16%
Contraseñas 81.90% 10.92% 10.57% 78.33%
Cifrado de Datos 48.80% 6.45% 6.09% 48.33%
Filtro de paquetes 31.60% 4.75% 4.52% -
Firewalls Hardware 57.20% 8.32% 8.47% 85.27%
Firewalls Software 62.50% 7.43% 7.62% -
Firmas digitales/certificados
digitales
32.50% 5.31% 4.98% 40.83%
VPN/IPSec 50.00% 8.33% 7.58% 64.72%
Proxies 49.10% 6.50% 6.89% 56.94%
Sistemas de detección de intrusos
- IDS
36.30% 4.08% 4.82% 36.66%
Monitoreo 7x24 29.70% 3.27% 3.79% 27.50%
Sistemas de prevención de
intrusos - IPS
25.90% 4.16% 4.33% 33.05%
Administración de logs 35.60% 4.37% 5.02% 38.61%
Web Application Firewalls 25.90% 3.23% 2.68% 27.77%
ADS (Anomaly Detection Systems) 6.30% 0.97% 0.68% 5.83%
Herramientas de validación de
cumplimiento con regulaciones
internacionales
8.80% 1.18% 1.14% 10.27%
Firewalls de Bases de Datos (DAF) - - 40.2% 21.66%
SIEM (Security Information Event
Management)
- - - 11.66%
11
Mecanismos de Seguridad 2009 2010 2011 2012
Tercerización de la seguridad
informática
- - - 11.66%
Otros: Herramientas de scanning - 4.20% - 0.28%
Tabla 1-4 - Porcentaje de Utilización de Mecanismos de Seguridad [3]
Se tiene que para el 2012 los mecanismos de seguridad de mayor acogida en las
organizaciones participantes son los antivirus y los firewalls hardware, con el 84.16%
y 85.27% respectivamente. Como un dato positivo que se puede obtener de la Tabla
1-4, las organizaciones han aumentado el porcentaje de utilización de mecanismos
de seguridad para el año 2012 en relación a los años anteriores, esto debido
posiblemente a la aparición de nuevas amenazas a la seguridad y con ellas la
creación de nuevas tecnologías para la protección de la información.
1.1.1.1.3 Medios de Información sobre fallas de seguridad
La Tabla 1-5 presenta una lista de los principales medios de información sobre fallas
de seguridad.
Medios de información
de fallas de seguridad
2009 2010 2011 2012
Notificaciones de
proveedores
36.30% 21.05% 17.38% 36.96%
Notificaciones de
colegas
43.10% 20.25% 18.28% 43.33%
Lectura de artículos en
revistas especializadas
58.40% 28.70% 23.86% 49.44%
Lectura y análisis de
listas de seguridad
(BUGTRAQ, SEGURINFO,
NTBUGTRAQ, etc)
49.10% 22.64% 20.49% 36.11%
Alerta de CSIRT
(Computer Security
Incident Response Team)
- - 12.45% 27.77%
12
Medios de información
de fallas de seguridad
2009 2010 2011 2012
No se tiene este hábito. 16.66% 7.33% 7.52% 18.61%
Tabla 1-5 - Porcentaje de Utilización de Medios de Información [3]
Los resultados de la encuesta durante los cuatro años que se ha venido realizando,
presentan que el medio preferido por los responsables de la seguridad de la
información en las organizaciones para mantenerse informados sobre fallas de
seguridad, son las revistas especializadas con el 49.44% en el año 2012. Esto
corrobora lo mencionado en la sección 1.1.1.1.1, donde se dice que las
organizaciones no realizan evaluaciones para la detección de sus propias fallas de
seguridad y en su lugar se están basando en información provista por terceros.
Una vez analizados los resultados de la encuesta, que en sí representa aquello que
los profesionales encargados de la seguridad realizan en la práctica, sin tomar en
cuenta lo que las leyes y normativas nacionales establecen, es necesario revisar el
marco legal y jurídico de la seguridad de la información.
1.1.2 ANTECEDENTES DE FALLAS EN LA SEGURIDAD DE LA INFORM ACIÓN
EN INSTITUCIONES PÚBLICAS
En las instituciones públicas ecuatorianas se han registrado una serie de incidentes
de seguridad durante los últimos años, que han causado graves perjuicios
económicos y han mermado la confianza de la ciudadanía en aspectos como: el
manejo de los recursos públicos y la protección de los datos personales de los
ciudadanos. Se presenta los casos más abordados por la prensa y que han llamado
la atención de las autoridades legales y de la ciudadanía.
1.1.2.1 Caso Concejo Nacional Electoral
Durante al proceso de inscripciones de organizaciones políticas para las elecciones
generales del 2013, se desató una ola de denuncias que apuntaban a que los
registros de afiliaciones y adhesiones eran falsos, debido a que las personas
supuestamente afiliadas jamás habían firmado ni consentido dicha afiliación. Este
13
fraude se llegó a descubrir gracias a que el CNE habilitó un link en su página web
que permitía a los ciudadanos consultar mediante su nombre o número de cédula si
están o no afiliados a algún movimiento político [2].
El primer problema detectado fue la falla del software utilizado para la validación de
firmas, del cual se conocía que tenía un cierto margen de error debido a que las
personas no firman igual cada vez que lo hacen. El segundo filtro utilizado consistía
en una revisión manual, llevada a cabo por 120 operadores de CNE y 3 grafólogos
[4].
Se realizaron auditorías internas y se investigó al personal del CNE, concluyendo
esto con la captura y encarcelación de un funcionario del CNE y dos cómplices que
presuntamente comercializaban las bases de datos del padrón electoral. En su
posesión se hallaron discos compactos, computadores portátiles y memorias
externas con información del Registro Civil y de agrupaciones políticas [5].
Este caso demuestra el incumplimiento o la falta de controles de seguridad en el
Concejo Nacional Electoral, una institución pública donde la protección de la
información personal de los ciudadanos debería ser prioridad. El hecho de que un
funcionario haya podido utilizar un medio de almacenamiento externo para robar
información del interior del CNE representa una grave falla de seguridad que podía
haberse evitado con la utilización de un SGSI.
1.1.2.2 Caso Municipio de Riobamba
Las denuncias de irregularidades en el Municipio de Riobamba se dieron desde el
año 2012, debido a que obras ofrecidas por el alcalde Juan Salazar no se han
cumplido o en otros casos se las ha realizado pero no con la calidad que amerita. La
principal denuncia se presentó en el mes de abril de 2013, en la cual se registra un
desvío de 13.33 millones de dólares a cuentas de personas naturales y jurídicas, de
esta cantidad de dinero se pudo retener 10 millones de dólares pero el resto
desapareció [6].
14
El alcalde denuncio un supuesto “hackeo” a la cuenta del municipio, pero no existía
evidencia de aquello, por tal razón el fiscal de Chimborazo Carlos Cabrera abrió una
instrucción fiscal en contra del alcalde y tres implicados más por peculado [7].
Posteriormente fueron detenidas cuatro personas, tres en Ambato y una en Santo
Domingo, tales personas eran las propietarias de las cuentas bancarias en que se
depositó el dinero.
La Corte Provincial de Justicia de Chimborazo con un informe de Contraloría
establece responsabilidad penal y ordena la detención de Mario Campos (tesorero),
Nely Oviedo (asesora), Fanny Lazo (directora financiera), Germania Basantes
(secretaria), Olga Heredia (de tesorería), todas éstas personas que pertenecían al
municipio sabían de las coordenadas y claves para acceder al sistema de pagos
manejado por el Banco Central (BCE) y solo ellos tenían conocimiento de cuánto
dinero disponible había, pero solo Campos y Lazo estaban autorizados para usar
estas claves que son únicas e intransferibles [6].
Después que el Alcalde Juan Salazar denunciara un supuesto “hackeo”, el BCE
emitió un boletín [7] en el cual se informa que “el sistema de seguridad que dispone
para administrar las cuentas del Sector Público registra altos niveles de confiabilidad
y extremas medidas de seguridad contra el 'hackeo', por lo que las aseveraciones del
Alcalde de Riobamba al respecto de lo sucedido, carecen de fundamento y no tienen
ningún sustento técnico”. El BCE indica que el uso de claves únicas es
exclusivamente responsabilidad del representante legal.
El tesorero reconoció que las transacciones se realizaron desde la computadora de
Heredia (de tesorería). Debido a todo lo sucedido se procedió a la remoción del
alcalde y de las personas implicadas en el presunto delito de peculado.
De acuerdo a lo sucedido en el Municipio de Riobamba se puede deducir que no se
ha establecido controles para la utilización de claves, en los cuales se especifique
como se deben usar y que personas deben tener acceso a ellas. Además no se tiene
el conocimiento de las políticas y regulaciones existentes en Ecuador (ver Sección
1.1.3), bajo cuales se deben manejar las entidades públicas.
15
1.1.2.3 Caso Ministerio del Ambiente
El delito de peculado por el desvió de fondos desde Ministerio de Ambiente ocurre en
el transcurso del 2 al 24 de mayo del 2012. La denuncia fue realizada por la
economista León, y junto con ella fueron detenidas 5 personas. León detectó
faltantes en el dinero y posteriormente da aviso a su superior, la Coordinadora
Administrativa Financiera [8].
De acuerdo a las investigaciones de la Fiscalía, los procesados por el presunto delito
de peculado son 58, de los cuales: 11 detenidos, 21 con medidas sustitutivas, y 26
prófugos. Las investigaciones descubrieron que se realizaron transacciones a 42
cuentas de personas particulares que no pertenecen al ministerio, de las 11 personas
detenidas 5 pertenecen al ministerio y entre ellas se encuentra la ex directora
financiera del ministerio del Ambiente, que según versiones receptadas por la fiscalía
habría obligado a sus subalternas a salir de vacaciones y dejar las claves para
acceder al sistemas de gestión Financiera (eSIGEF) del ministerio del Ambiente [8].
El perjuicio al Estado sería de aproximadamente 5.4 millones de dólares [1].
El manejo de claves de acceso a los sistemas del Ministerio del Ambiente no se
cumplió, pese a que existía un instructivo en el cual se prohíbe que se revele este
tipo de información, esto demuestra que no hay la debida concientización sobre la
seguridad de la información y en especial no existen o son insuficientes los controles
de seguridad ligados a la gestión de claves. La norma NTE INEN-ISO/IEC
27001:2011 establece una serie de controles dedicados específicamente a la
administración de claves para el acceso a sistemas operativos, aplicaciones y a la
red.
1.1.3 MARCO LEGAL Y JURÍDICO DE LA SEGURIDAD DE LA INFORM ACIÓN
EN EL ECUADOR
En el Ecuador existen diferentes leyes, reglamentos y normativas relacionadas de
manera directa con la seguridad de la información. A continuación se hace un
resumen de las más importantes.
16
1.1.3.1 Constitución Política del Ecuador
En la Constitución Política del Ecuador no se hace referencia explícita al tema de la
seguridad de la información, sin embargo existen dos artículos cuyo contenido es
importante para esta temática.
“Art. 18.- Todas las personas, en forma individual o colectiva, tienen derecho a:
…
2. Acceder libremente a la información generada en entidades públicas, o en las
privadas que manejen fondos del Estado o realicen funciones públicas. No existirá
reserva de información excepto en los casos expresamente establecidos en la ley.
En caso de violación a los derechos humanos, ninguna entidad pública negará la
información.” [9]
Aun si la información a la que se refiere el artículo se maneja en forma manual, se
requiere contar con procedimientos de seguridad asimilables por un SGSI.
Por otro lado, en el artículo 389 se establece que el Estado garantiza la protección
frente a los efectos negativos de desastres de origen natural o antrópico mediante la
identificación y prevención de los riesgos:
“Art. 389.‐El Estado garantizará el derecho de las personas, las colectividades y la
naturaleza a la protección frente a los efectos negativos de los desastres de origen
natural o antrópico mediante la prevención ante el riesgo, la mitigación de desastres,
la recuperación y mejoramiento de las condiciones sociales, económicas y
ambientales, con el objetivo de minimizar la condición de vulnerabilidad.” [9]
Al mencionar desastres de origen antrópico se refieren a aquellos incidentes de
seguridad ocasionados por personas. Hay que resaltar que este artículo hace
hincapié en el tratamiento del riesgo, tema que se amplía en las Normas de Control
Interno y que también es parte de la norma NTE INEN-ISO/IEC 27001:2011.
17
1.1.3.2 Normas de Control Interno de la Contraloría General del Estado
Estas normas contienen dos temas importantes referentes a la seguridad de la
información, los cuales son la evaluación del riesgo y la seguridad de tecnología de
información.
Con respecto a la evaluación del riesgo las normas dicen lo siguiente:
“300 EVALUACIÓN DEL RIESGO
La máxima autoridad establecerá los mecanismos necesarios para identificar,
analizar y tratar los riesgos a los que está expuesta la organización para el logro de
sus objetivos...” [10]
“300-01 Identificación de riesgos
Los directivos de la entidad identificarán los riesgos que puedan afectar el logro de
los objetivos institucionales debido a factores internos o externos, así como
emprenderán las medidas pertinentes para afrontar exitosamente tales riesgos…”
[10]
“300-02 Plan de mitigación de riesgos
Los directivos de las entidades del sector público y las personas jurídicas de derecho
privado que dispongan de recursos públicos, realizarán el plan de mitigación de
riesgos desarrollando y documentando una estrategia clara, organizada e interactiva
para identificar y valorar los riesgos que puedan impactar en la entidad impidiendo el
logro de sus objetivos…” [10]
“300-03 Valoración de los riesgos
La valoración del riesgo estará ligada a obtener la suficiente información acerca de
las situaciones de riesgo para estimar su probabilidad de ocurrencia, este análisis le
permitirá a las servidoras y servidores reflexionar sobre cómo los riesgos pueden
afectar el logro de sus objetivos, realizando un estudio detallado de los temas
puntuales sobre riesgos que se hayan decidido evaluar…” [10]
18
“300-04 Respuesta al riesgo
Los directivos de la entidad identificarán las opciones de respuestas al riesgo,
considerando la probabilidad y el impacto en relación con la tolerancia al riesgo y su
relación costo/beneficio…” [10]
Es posible relacionar las Normas de Control Interno con la norma NTE INEN-ISO/IEC
27001:2011, debido a que ambas incluyen la evaluación del riesgo, la cual es tratada
en el dominio: Gestión de la continuidad del negocio, específicamente en el control
A.14.1.2 Continuidad del negocio y evaluación de riesgos [11].
Las Normas de Control Interno hacen una referencia explícita a la seguridad de la
información en su artículo 410-10, el cual expresa lo siguiente:
“410-10 Seguridad de tecnología de información
La Unidad de Tecnología de Información, establecerá mecanismos que protejan y
salvaguarden contra pérdidas y fugas los medios físicos y la información que se
procesa mediante sistemas informáticos, para ello se aplicarán al menos las
siguientes medidas:
1. Ubicación adecuada y control de acceso físico a la Unidad de Tecnología de
Información y en especial a las áreas de: servidores, desarrollo y bibliotecas.
2. Definición de procedimientos de obtención periódica de respaldos en función a
un cronograma definido y aprobado.
3. En los casos de actualización de tecnologías de soporte se migrará la
información a los medios físicos adecuados y con estándares abiertos para
garantizar la perpetuidad de los datos y su recuperación.
4. Almacenamiento de respaldos con información crítica y/o sensible en lugares
externos a la organización.
5. Implementación y administración de seguridades a nivel de software y
hardware, que se realizará con monitoreo de seguridad, pruebas periódicas y
acciones correctivas sobre las vulnerabilidades o incidentes de seguridad
identificados.
19
6. Instalaciones físicas adecuadas que incluyan mecanismos, dispositivos y
equipo especializado para monitorear y controlar fuego, mantener ambiente
con temperatura y humedad relativa del aire controlado, disponer de energía
acondicionada, esto es estabilizada y polarizada, entre otros;
7. Consideración y disposición de sitios de procesamiento alternativos.
8. Definición de procedimientos de seguridad a observarse por parte del personal
que trabaja en turnos por la noche o en fin de semana.” [10]
Las disposiciones con respecto a la seguridad de tecnología de la información
establecidas en las Normas de Control Interno pueden ser consideradas como un
subconjunto de controles de la norma NTE INEN-ISO/IEC 27001:2011, razón por la
cual la adopción de esta norma internacional permite cumplir y ampliar las Normas
de Control Interno.
1.1.3.3 Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos
La Ley de Comercio Electrónico regula el uso de sistemas de información y redes
electrónicas, como el Internet, en el desarrollo del comercio y la producción en el
sector público y privado. Las temáticas abordadas por esta ley son [12]:
• Título 1: De los mensajes de datos
• Título 2: De las firmas electrónicas, certificados de firma electrónica, entidades
de certificación de información, organismos de promoción de los servicios
electrónicos, y de regulación y control de las entidades de certificación
acreditadas
• Título 3: De los servicios electrónicos, la contratación electrónica y telemática,
los derechos de los usuarios, e instrumentos públicos
• Título 4: De la prueba y notificaciones electrónicas
• Título 5: De las infracciones informáticas
La norma NTE INEN-ISO/IEC 27001:2011en su dominio Gestión de Comunicaciones
y Operaciones establece tres controles dedicados específicamente al comercio
electrónico, dichos controles son: A.10.9.1 Comercio electrónico, A.10.9.2
20
Transacciones en línea y A.10.9.3 Información públicamente disponible. Además el
control A.8.2.3 Proceso Disciplinario [11], tiene relación con el Título 5 de la ley de
Comercio Electrónico, que establece sanciones sobre las infracciones informáticas
cometidas por un empleado público y toda persona encargada de un servicio público.
1.1.3.4 Ley Orgánica de Transparencia y Acceso a la Información Pública
La presente ley garantiza a las personas el derecho fundamental a ser informados
sobre la gestión que realizan las instituciones públicas ecuatorianas, con el fin de que
dignatarios, autoridades y funcionarios públicos rindan cuentas y transparenten la
información de sus actividades al servicio del sector público.
En el Artículo 10, redactado a continuación, se encuentra definida la obligatoriedad
de las instituciones públicas a proteger la información a través de normas técnicas
para el manejo, archivo y documentación de la misma.
“Art. 10.- Custodia de la Información.-
Es responsabilidad de las instituciones públicas, personas jurídicas de derecho
público y demás entes señalados en el artículo 1 de la presente Ley, crear y
mantener registros públicos de manera profesional, para que el derecho a la
información se pueda ejercer a plenitud, por lo que, en ningún caso se justificará la
ausencia de normas técnicas en el manejo y archivo de la información y
documentación para impedir u obstaculizar el ejercicio de acceso a la información
pública, peor aún su destrucción.” [13]
Este artículo hace referencia explícita a la aplicación de una norma técnica para la
protección de la información, lo que justifica la aplicación de la norma NTE INEN-
ISO/IEC 27001:2011 en cualquier institución pública.
La Ley de Transparencia clasifica la información en dos tipos: información pública e
información confidencial, según los artículos 5 y 6 redactados a continuación:
“Art. 5.- Información Pública.-
21
Se considera información pública, todo documento en cualquier formato, que se
encuentre en poder de las instituciones públicas y de las personas jurídicas a las que
se refiere esta Ley, contenidos, creados u obtenidos por ellas, que se encuentren
bajo su responsabilidad o se hayan producido con recursos del Estado.” [13]
“Art. 6.- Información Confidencial.-
Se considera información confidencial aquella información pública personal, que no
está sujeta al principio de publicidad y comprende aquella derivada de sus derechos
personalísimos y fundamentales, especialmente aquellos señalados en los artículos
23 y 24 de la Constitución Política de la República.
El uso ilegal que se haga de la información personal o su divulgación, dará lugar a
las acciones legales pertinentes.
…” [13]
Cabe recalcar que la Ley de Transparencia en su Artículo 6 hace referencia a los
artículos 23 y 24 de la Constitución Política de la República del año 2004, es decir
que la ley no ha sido modificada hasta la presente fecha (año 2013).
Como resultado del análisis de la presente ley se puede deducir que existe una
deficiencia en la misma, ya que no se establecen lineamientos específicos para la
protección de datos personales manejados por las instituciones públicas. Por datos
personales se entiende a aquellos datos relacionados con [14]: condición social,
creencias religiosas, preferencias políticas, antecedentes penales, orientación
sexual, historial médico entre otros.
Las instituciones públicas pueden establecer sus propias políticas para la protección
de datos personales según su criterio, entonces la norma NTE INEN-ISO/IEC
27001:2011 complementa a la Ley de Transparencia, ya que se tiene un control
denominado: A.15.1.4 Protección de datos y privacidad de la información de carácter
personal [11].
22
1.1.3.5 Ley del Sistema Nacional de Registro de Datos Públicos
Esta ley busca garantizar un manejo eficaz y eficiente de la información en las
instituciones públicas y privadas que manejen recursos públicos. El Artículo 26 hace
una referencia explícita a la seguridad:
“Art. 26.- Seguridad.- Toda base informática de datos debe contar con su respectivo
archivo de respaldo, cumplir con los estándares técnicos y plan de contingencia que
impidan la caída del sistema, robo de datos, modificación o cualquier otra
circunstancia que pueda afectar la información pública.” [15]
En este artículo se establece algunas directivas para la seguridad de la información,
tales como la gestión de respaldos, planes de contingencia y la protección contra
robo o alteración, como en leyes anteriores, se las puede considerar como parte de
la norma NTE INEN-ISO/IEC 27001:2011.
1.1.3.6 Proyecto de Ley de Protección a la Intimidad y a los Datos Personales
Este proyecto de ley fue pensado con el propósito de complementar a la Ley del
Sistema Nacional de Registro de Datos Públicos (ver Sección 1.1.3.5) y buscaba la
protección del derecho a la intimidad y el tratamiento de datos personales
almacenados tanto en medio físicos como digitales.
Cabe resaltar que esta iniciativa de ley no fue aprobada debido a los siguientes
aspectos [14]:
• Se permite la recolección de información personal por razones de “interés
general” pero no se especifica cuáles son estas razones, dejando a discreción
de los asambleístas la creación de leyes que aprovechen esta imprecisión.
• Se prevé la creación de un órgano de control de datos personales, cuyo
director sea designado por el Ejecutivo, es decir, se le otorga únicamente al
Ejecutivo el control de toda la información personal, lo que podría ocasionar
abusos en la utilización de la misma.
23
Debido a la no aprobación de esta ley, la Ley del Sistema Nacional de Registro de
Datos Públicos necesita ser complementada con alguna normativa que considere la
protección de datos personales, como se mencionó en la anterior sección, la norma
NTE INEN-ISO/IEC 27001:2011 establece un control denominado A.15.1.4
Protección de datos y privacidad de la información de carácter personal [11], que
podría ser considerado en la elaboración de una futura ley de protección de datos
personales.
Durante el análisis de las leyes citadas se determinó que en su mayoría obligan a la
implantación de controles de seguridad y la aplicación de normas técnicas, motivo
por el cual se considera que la adopción de la norma NTE INEN-ISO/IEC 27001:2011
permitirá a cualquier institución del sector público cumplir con los requisitos de
seguridad establecidos por las leyes nacionales.
1.1.3.7 Cuadro comparativo de la norma NTE INEN-ISO/IEC 27001:2011 respecto a
las leyes y normativas ecuatorianas
La Tabla 1-6 presenta un cuadro comparativo de los controles de la norma NTE
INEN-ISO/IEC 27001:2011 con los artículos de las leyes y normativas ecuatorianas
citadas anteriormente.
24
Ley o Normativa Artículo Control de la norma INEN-ISO/IEC
27001:2011
Posibles controles para complementar
la ley o normativa
Constitución
Política del
Ecuador
Artículo 389 A.14.1.2 Continuidad del negocio y
evaluación de riesgos
Normas de Control
Interno de la
Contraloría
General del Estado
Artículo 300 Evaluación del
Riesgo, 300-01 Identificación
de riesgos, 300-02 Plan de
mitigación de riesgos, 300-03
Valoración de los riesgos, 300-
04 Respuesta al riesgo
A.14.1.2 Continuidad del negocio y
evaluación de riesgos
410-10 Seguridad de
tecnología de información
A.8.2.2 Educación, formación y
concienciación sobre la seguridad de la
información
A.9.1.1 Perímetro de seguridad física
A.9.1.2 Controles de acceso físico
A.9.1.3 Seguridad de oficinas, recintos e
instalaciones
A.9.1.4 Protección contra amenazas
externas y ambientales
A.9.1.5 Trabajo en áreas seguras
A.9.2.2 Servicios de suministro
A.10.5.1 Respaldo de la información
A.10.8.3 Medios físicos de transporte
A.12.5.1 Procedimientos de control de
cambios
A.7.1 Responsabilidad por los activos
A.7.1.1 Inventario de activos
A.8.2.3 Proceso disciplinario
A.8.3.3 Retiro de los derechos de acceso
A.10.1.1 Documentación de los
procedimientos de operación
A.10.1.2 Gestión del cambio
A.10.1.4 Separación de las instalaciones
de desarrollo, ensayo y operación
A.11.4.5 Separación en las redes
A.12.6 Gestión de la vulnerabilidad técnica
A.13.1 Reporte sobre los eventos y las
debilidades de la seguridad de la
información
A.15.1.3 Protección de los registros de la
25
Ley o Normativa Artículo Control de la norma INEN-ISO/IEC
27001:2011
Posibles controles para complementar
la ley o normativa
A.12.6.1 Control de las vulnerabilidades
técnicas
A.14.1.3 Desarrollo e implementación de
planes de continuidad que incluyan la
seguridad de la información
organización
Ley de Comercio
Electrónico, Firmas
Electrónicas y
Mensajes de Datos
Título 1, 2, 3, 4 A.10.9.1 Comercio electrónico
A.10.9.2 Transacciones en línea
A.10.9.3 Información públicamente
disponible.
A.11.4.6 Control de conexión a las redes
A.12.3 Controles criptográficos
A.15.1 Cumplimientos de los requisitos
legales
A.15.1.4 Protección de los datos y
privacidad de la información personal
A.15.1.6 Reglamentación de los controles
criptográficos
Título 5 A.8.2.3 Proceso Disciplinario A.13.2.3 Recolección de evidencias
Ley Orgánica de
Transparencia y
Acceso a la
Información
Pública
Art. 5.- Información Pública
Art. 6.- Información
Confidencial
Art. 10.- Custodia de la
Información
Se hace referencia explícita a la aplicación
de una norma técnica para la protección de
la información.
A.15.1.4 Protección de datos y privacidad
de la información de carácter personal
26
Ley o Normativa Artículo Control de la norma INEN-ISO/IEC
27001:2011
Posibles controles para complementar
la ley o normativa
Ley del Sistema
Nacional de
Registro de Datos
Públicos
Art. 26.- Seguridad A.10.5.1 Respaldo de la información
A.14.1.2 Continuidad del negocio y
evaluación de riesgos
A.5.1.1 Documento de la Política de la
seguridad de la información
A.9 Seguridad física y del entorno
A.14 Gestión de la continuidad del negocio
A.15.1.3 Protección de los registros de la
organización
Tabla 1-6 - Cuadro comparativo de la norma NTE INEN -ISO/IEC 27001:2011 respecto a las leyes y normativ as ecuatorianas
27
Como se puede apreciar en la Tabla 1-6, las leyes y normativas ecuatorianas se
asemejan con algunos controles de la norma NTE INEN-ISO/IEC 27001:2011, sin
embargo los artículos de las leyes no brindan la suficiente información para la
creación de un SGSI. Se considera que algunas leyes podrían ser mejoradas
complementando algunos controles de la norma NTE INEN-ISO/IEC 27001:2011 o, si
se desea ser más específico, se podría crear una ley dedicada a la Gestión de la
Seguridad de la Información para las Instituciones Públicas ecuatorianas.
1.1.4 REFLEXIONES FINALES
Como reflexiones finales se puede decir que:
• Basado en la información recolectada hasta este momento se puede deducir
que Ecuador es un país que le ha dado poca importancia a la seguridad de la
información, esto se lo pudo determinar por la poca participación que tuvo en
la IV Encuesta Latinoamericana de Seguridad de la Información (ver Sección
1.1.1).
• Las leyes y normativas ecuatorianas hacen referencia en forma general a la
seguridad de la información pero en su gran mayoría fueron creadas basadas
en una realidad de años anteriores, es decir no han sido modificadas para
adaptarse a la realidad actual de la seguridad de la información.
• La adopción de la norma NTE INEN-ISO/IEC 27001:2011 por parte de las
instituciones públicas ecuatorianas es un paso importante para el
cumplimiento de los artículos de las leyes y normativas vigentes, debido a
que, como se demostró en la Tabla 1-6, dichos artículos pueden ser
considerados como un subconjunto de controles de seguridad de la norma
NTE INEN-ISO/IEC 27001:2011 (Dominio A.15 Cumplimiento).
• Se considera que las leyes y normativas ecuatorianas pueden tener varias
falencias (ver Sección 1.1.3), por consiguiente un SGSI basado en la norma
NTE INEN-ISO/IEC 27001:2011 puede servir como control adicional para
reforzar la carencia de leyes relacionadas con la seguridad de la información.
28
1.2 DESCRIPCIÓN DE LA GESTIÓN DE SEGURIDAD DE LA
INFORMACIÓN, SEGÚN LA NORMA NTE INEN-ISO/IEC
27000:2012
La norma NTE INEN-ISO/IEC 27000:2012 la conforman una serie de normas
denominadas familia de normas SGSI (Sistema de Gestión de la Seguridad de la
Información), cada una de ellas tiene un propósito específico para la creación y
mantenimiento de un SGSI dentro de una organización.
A continuación se analizará de manera breve las principales normas de la familia
SGSI, para posteriormente poder realizar una comparación con otros marcos de
trabajo y determinar el beneficio de utilizar la norma NTE INEN-ISO/IEC 27000:2012
para la gestión de la seguridad de la información.
1.2.1 DESCRIPCIÓN DE LA NORMA NTE INEN-ISO/IEC 27000:2012
La norma NTE INEN-ISO/IEC 27000:2012 es un marco de trabajo que permite a
cualquier tipo de organización ya sea pequeña o grande, pública o privada,
desarrollar e implementar un Sistema de Gestión de Seguridad de la Información
(SGSI) mediante el uso de la familia de normas SGSI. Un sistema de gestión de
seguridad de la información proporciona un modelo para establecer, operar,
monitorear, revisar, mantener y mejorar la seguridad de los activos de información
(hardware, software, documentación, etc.).
1.2.1.1 Familia de normas SGSI
La norma NTE INEN-ISO/IEC 27000:2012 la conforman una serie de otras normas
denominadas familia de normas SGSI, las cuales sirven de apoyo para la creación de
un SGSI. A continuación se presenta un listado de esta familia de normas [16]:
• NTE INEN-ISO/IEC 27000, Sistema de gestión de seguridad de la información
– Descripción general y vocabulario
• NTE INEN-ISO/IEC 27001, Sistema de gestión de la seguridad de la
información –Requisitos
29
• NTE INEN-ISO/IEC 27002, Código de práctica para la gestión de la seguridad
de la información
• NTE INEN-ISO/IEC 27003, Guía de implementación del sistema de gestión de
la seguridad dela información
• NTE INEN-ISO/IEC 27004, Gestión de la seguridad de la información –
Medición
• NTE INEN-ISO/IEC 27005, Gestión de riesgo de la seguridad de la
información
• NTE INEN-ISO/IEC 27006, Requisitos para organizaciones que proveen la
auditoria y certificación de los sistemas de gestión de la seguridad de la
información
• ISO/IEC 27007, Directrices para auditoria de los sistemas de gestión de la
seguridad de la información
• ISO/IEC 27011, Directrices para la gestión de la seguridad de la información
para organizaciones de telecomunicaciones, basada en la NTE INEN-ISO/IEC
27002
• NTE INEN-ISO 27799, Informática para la salud – Gestión de la seguridad de
la información para la salud utilizando la NTE INEN-ISO/IEC 27002
• ISO/IEC 27037, Directrices para la identificación, recolección, adquisición y
preservación de evidencia digital. Estas actividades se establecen como
necesarias para la preservación de la integridad de la evidencia digital [17].
De todo el conjunto de normas NTE INEN-ISO/IEC 27000:2012, la única certificable
es la norma NTE INEN-ISO/IEC 27001, en la cual se especifica los requisitos
necesarios para la establecer, implementar, operar, monitorear, revisar, mantener y
mejorar los sistemas de gestión de seguridad de la información, todo esto se lo
realiza con el apoyo de la familia de normas restantes [16].
A continuación en la Figura 1-1 se puede visualizar las relaciones que tienen entre si
la familia de normas SGSI.
30
Figura 1-1 – Relaciones del Grupo de Normas SGSI [16]
La norma que describe los requisitos generales y la terminología es la NTE INEN-
ISO/IEC 27000:2012. Los requisitos generales para la certificación SGSI y los
requisitos para las organizaciones certificadoras se establecen en las normas NTE
INEN-ISO/IEC 27001 y NTE INEN-ISO/IEC 27006 respectivamente. Las directrices
generales que brindan soporte a la norma NTE INEN-ISO/IEC 27001 se especifican
en las normas NTE INEN-ISO/IEC 27002, NTE INEN-ISO/IEC 27003, NTE INEN-
ISO/IEC 27004, NTE INEN-ISO/IEC 27005 y ISO/IEC 27007. Por último la familia de
normas SGSI incluye dos normas con directrices para sectores específicos como lo
son las organizaciones de telecomunicaciones (ISO/IEC 27011) y las organizaciones
para la salud (NTE INEN-ISO/IEC 27799) [16].
31
Cabe resaltar que aquellas normas que tienen las siglas NTE INEN son aquellas que
han sido adoptadas como Normas Técnicas Ecuatorianas según el Instituto
Ecuatoriano de Normalización (INEN).
La familia de normas SGSI facilitan tener una visión clara de lo que se desea
alcanzar con la certificación de un SGSI, para ello es necesario seguir el modelo
PHVA (Planear – Hacer – Verificar - Actuar) ya planteado por la misma norma.
Con un conocimiento general de la familia de normas SGSI a continuación se
presentará el enfoque que da la NTE INEN-ISO/IEC 27000 a la gestión de la
seguridad de la información.
1.2.1.2 Gestión de la Seguridad de la Información Según la Norma
Para entender el concepto según la norma NTE INEN-ISO/IEC 27000 de la gestión
de la seguridad de la información, es necesario conocer algunos conceptos
generales sobre esta temática que serán analizados a continuación.
1.2.1.2.1 Que es Gestión
En el contexto de un SGSI la gestión abarca la supervisión y toma de decisiones
para alcanzar los objetivos del negocio, mediante la protección de los activos de
información [16]. Tales activos de información pueden ser: datos, aplicaciones,
personas, servicios, hardware, software, instalaciones, documentos, etc. Es decir
toda aquella información considerada de valor para la organización.
1.2.1.2.2 Que es Seguridad de la Información
La seguridad de la información abarca tres aspectos fundamentales que son:
disponibilidad, confidencialidad e integridad. Con el objetivo de asegurar la
continuidad del negocio y el prestigio de la organización, para ello la seguridad de la
información comprende la selección e implementación de controles de seguridad y la
definición de políticas y procedimientos, en base al proceso de gestión del riesgo
[16].
32
1.2.1.2.3 Que es un Sistema de Gestión
Un sistema de gestión consiste en una serie de pasos o etapas que permiten dar
seguimiento a los proceso de una organización con el propósito de alcanzar las
metas y objetivos del negocio. Específicamente en el contexto de un SGSI un
sistema de gestión permite a la organización: satisfacer los requerimientos de
seguridad de todas las partes involucradas, alcanzar los objetivos fijados con
respecto a la seguridad de la información, asegurar el cumplimiento de leyes y
normativas y mejorar de manera continua la gestión de los activos de información
[16].
1.2.1.2.4 Que es un SGSI
Un sistema de gestión de seguridad de la información proporciona un modelo para
establecer, operar, monitorear, revisar, mantener y mejorar la seguridad de los
activos de información, mediante la implementación de controles de seguridad
seleccionados en base a un proceso de gestión del riesgo y considerando el nivel de
aceptación del riesgo establecido por la organización para lograr los objetivos del
negocio. El éxito de un SGSI se basa en [16]:
• Compromiso de la dirección con la creación, mantenimiento y mejora del SGSI
• Comunicar y concientizar a las partes involucradas sobre la importancia de la
seguridad de la información
• Definición de roles y responsabilidades para la seguridad de la información
• Llevar a cabo un proceso de gestión del riesgo que le brinde a la organización
una visión clara de los riesgos asociados a los activos de información
• Evaluación de la eficiencia de los controles de seguridad establecidos
• Mejora continua del SGSI
33
1.2.2 COMPARACIÓN DE LA NORMA NTE INEN-ISO/IEC 27000:2012 CON
RESPECTO A OTROS MARCOS DE TRABAJO
La existencia de varios marcos de trabajo como COBIT, ITIL, OCTAVE y MAGERIT
entre otros, hacen necesario realizar un análisis de cuál de ellos maneja un enfoque
más centrado en la seguridad de la seguridad de la información en una
organización. A continuación se hará una comparación entre dichos marcos de
trabajo y la norma NTE INEN-ISO/IEC 27000.
1.2.2.1 ITIL
ITIL está basado en las mejores prácticas para la gestión y soporte de servicios de
TI, a través de la definición de procesos. Los servicios entregados a los clientes
deben ser de alta calidad, satisfacer las necesidades de la organización y de los
usuarios, cumplir las leyes y reglamentos del país, ser entregados de forma eficaz y
eficiente, revisarse y posteriormente realizar una mejora.
ITIL ayuda a respaldar mas no a fijar los procesos del negocio de una organización,
los objetivos de la gestión de servicios son [18]:
• Calidad en los servicios
• Aumentar la eficiencia
• Reducir los riesgos asociados a los servicios de TI
La norma NTE INEN-ISO/IEC 27000 a diferencia de ITIL tiene un enfoque hacia la
gestión de la seguridad a través de la implementación o mejora de un SGSI, sin
embargo para poder realizar, ya sea la gestión de servicios o la gestión de seguridad,
ambos toman en cuenta la importancia que implica los riesgos para cumplir los
objetivos que se desea alcanzar.
En la familia de normas de la NTE INEN-ISO/IEC 27000 cuenta con los controles:
A.10.2 Gestión de la prestación de servicios por terceras personas, A.10.2.1
Prestación del servicio, A.10.2.2 Supervisión y revisión de los servicios prestados por
terceros, A.10.2.3 Gestión del cambio en los servicios prestados por terceros [11].
34
Sin embargo estos controles hacen énfasis en la seguridad de la información
respecto a la gestión de servicios.
La Figura 1-2 muestra la secuencia de pasos definidos por ITIL para la gestión de
incidentes.
Figura 1-2 – Actividades de la Gestión de Incidente s de ITIL [19]
Cada uno de los pasos son explicados a continuación [19]:
• Incidencia: Comunicada por el usuario o generada automáticamente por las
aplicaciones
• Service Desk: Son los responsables directos de la gestión de incidencias, son
la primera línea de soporte
• Registro y Clasificación: Se crea un registro del incidente en el cual se define
su prioridad (prioridad = impacto * urgencia) y se lo categoriza (tipo y personal
de soporte)
• KDB: Consulta en la base de datos de conocimiento para verificar si existe
una solución preestablecida para solucionar el incidente.
o Si se conoce el método de solución se asigna los recursos necesarios
para solucionar el incidente
o Si no se conoce el método de solución se escala el incidente a un nivel
superior de soporte
35
• Escalado: Existe dos tipos de escalado en el proceso de resolución de la
incidencia. Escalado funcional en el que se recurre a técnicos de nivel superior
y el escalado jerárquico donde se escala la incidencia a un responsable de
mayor jerarquía de la organización
o Si se conoce el método de solución se asigna los recursos necesarios
para solucionar el incidente
o Si no se conoce el método de solución se escala el incidente a un nivel
superior de soporte
• Resolución y Cierre: Este paso se cumple cuando se ha logrado resolver
satisfactoriamente un incidente. Se procede a crear un registro en la base de
datos de conocimiento o si fuera necesario se genera una petición de cambio
La Norma NTE INEN-ISO/IEC 27002:2009 establece en su control A.13.2.1
Responsabilidades y procedimientos, del dominio A.13 Gestión de los Incidentes de
la Seguridad de la Información, una guía en la que se define procedimientos a seguir
en la Gestión de Incidentes [20]:
• Análisis e identificación de la causa del incidente
• Contención
• Planificación e implementación de la acción correctiva para evitar que se
repita el incidente
• Comunicación con los afectados o implicados con la recuperación después del
incidente
• Reporte de la acción a la autoridad apropiada
Una diferencia a resaltar entre ITIL y la norma NTE INEN-ISO/IEC 27000 consiste en
el tratamiento de los incidentes. Para ITIL un incidente es: “cualquier evento que no
forma parte de la operación estándar de un servicio y que causa, o puede causar,
una interrupción o una reducción de calidad del mismo” [19]. Mientras que la norma
NTE INEN-ISO/IEC 27000 define a un incidente de seguridad como: uno o varios
eventos no deseados que ocurren en un sistema, servicio o red, que indican una
36
violación de la política de seguridad o la falla de un control, llegando esto a
comprometer a la seguridad de la información [16].
En conclusión, ITIL considera únicamente aquellos incidentes que tienen relación con
la infraestructura tecnológica de la organización y el respectivo soporte y provisión de
estos servicios. Mientras que la norma toma como incidente aquellos eventos, no
solo tecnológicos (físicos, ambientales, personas, etc.), que afectan a la
disponibilidad, integridad y confidencialidad de los activos de información2.
1.2.2.2 COBIT
Los Objetivos de Control para la Información y la Tecnologías Relacionadas (COBIT)
es un marco de trabajo basado en procesos que reúne buenas prácticas y
estándares internacionales (entre ellos la norma NTE INEN-ISO/IEC 27000), dichos
procesos están enfocados en la gestión de las tecnologías de la información de una
organización, con el propósito de alinear los objetivos de TI con los objetivos del
negocio [21].
COBIT está compuesto por 4 dominios denominados [21]:
• Planear y Organizar (PO): este dominio establece directrices para asegurar
que TI contribuya al cumplimento de los objetivos del negocio, alineando las
estrategias de TI y las del negocio.
• Adquirir e Implementar (AI): La identificación, desarrollo o adquisición de
soluciones de TI están cubiertas por este dominio. Además establece
directrices para el cambio o mantenimiento de los sistemas ya existentes.
• Entregar y Dar Soporte (DS): La entrega de los servicios requeridos,
administración de la seguridad y de la continuidad están cubiertas por este
dominio.
• Monitorear y evaluar (ME): este dominio se encarga de la evaluación del
desempeño de los procesos de TI y asegurar el cumplimiento de los
requerimientos del negocio.
2 Activo de Información: es cualquier conocimiento o datos que tienen valor para la organización [16].
37
Los dominios de COBIT contienen 34 procesos genéricos que administran los
recursos de TI y para cada proceso se define objetivos de control.
Una vez investigado el contenido de COBIT se pueden emitir algunos criterios sobre
las principales diferencias con la norma NTE INEN-ISO/IEC 27000 [22]:
• Enfoque: COBIT está orientado al negocio y al gobierno de TI, mientras que la
norma NTE INEN-ISO/IEC 27000 se centra en el establecimiento de controles
de seguridad seleccionados a partir de un proceso de gestión del riesgo.
• Objetivo: COBIT busca ser una solución integrada que ayuda a las
organizaciones a establecer un gobierno de TI. La norma NTE INEN-ISO/IEC
27000 permite a las organizaciones la creación, mantenimiento y mejora de un
sistema de gestión de seguridad de la información.
• Estructura: COBIT posee 34 procesos agrupados en 4 dominios. La norma
NTE INEN-ISO/IEC 27000 posee 11 dominios, 39 objetivos de control y 133
controles.
La Tabla 1-7 presenta un mapeo entre los objetivos de control definidos en
COBIT versión 4.1 y la norma NTE INEN-ISO/IEC 27001.
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
PO1 Definir un plan
estratégico de TI
No PO1.1 Administración del Valor de TI
PO1.2 Alineación de TI con el
Negocio
PO1.3 Evaluación del Desempeño y
la Capacidad Actual
PO1.4 Plan Estratégico de TI
PO1.5 Planes Tácticos de TI
PO1.6 Administración del Portafolio
de TI
38
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
PO2 Definir la arquitectura
de información
Parcialmente PO2.1 Modelo de Arquitectura de
Información Empresarial
PO2.4 Administración de Integridad
PO3 Determinar la
orientación tecnológica
Parcialmente PO3.2 Plan de Infraestructura
Tecnológica
PO4 Definir los procesos,
organización y relaciones
de TI
Parcialmente PO4.1 Marco de Trabajo de
Procesos de TI
PO4.2 Comité Estratégico de TI
PO4.7 Responsabilidad de
Aseguramiento de Calidad de TI
PO4.12 Personal de TI
PO4.13 Personal Clave de TI
PO5 Gestionar la inversión
en TI
Parcialmente PO5.1 Marco de Trabajo para la
Administración Financiera
PO5.2 Prioridades Dentro del
Presupuesto de TI
PO5.5 Administración de Beneficios
PO6 Comunicar las
aspiraciones y la dirección
de la gerencia
Si
PO7 Gestión de los
recursos humanos de TI
Parcialmente PO7.5 Dependencia Sobre los
Individuos
PO8 Gestión de la calidad Parcialmente PO8.1 Sistema de Administración de
Calidad
PO8.2 Estándares y Prácticas de
Calidad
PO8.4 Enfoque en el Cliente de TI
PO8.5 Mejora Continua
PO8.6 Medición, Monitoreo y
Revisión de la Calidad
39
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
PO9 Evaluar y gestionar los
riesgos de TI
Parcialmente PO9.5 Respuesta a los Riesgos
PO9.6 Mantenimiento y Monitoreo de
un Plan de Acción de Riesgos
PO10 Gestionar proyectos No PO10.1 Marco de Trabajo para la
Administración de Programas
PO10.2 Marco de Trabajo para la
Administración de Proyectos
PO10.3 Enfoque de Administración
de Proyectos
PO10.4 Compromiso de los
Interesados
PO10.5 Declaración de Alcance del
Proyecto
PO10.6 Inicio de las Fases del
Proyecto
PO10.7 Plan Integrado del Proyecto
PO10.8 Recursos del Proyecto
PO10.9 Administración de Riesgos
del Proyecto
PO10.10 Plan de Calidad del
Proyecto
PO10.11 Control de Cambios del
Proyecto
PO10.12 Planeación del Proyecto y
Métodos de Aseguramiento
PO10.13 Medición del Desempeño,
Reporte y Monitoreo del Proyecto
PO10.14 Cierre del Proyecto
AI1 Identificar soluciones
automatizadas
Parcialmente AI1.3 Estudio de Factibilidad y
Formulación de Cursos de Acción
Alternativos
40
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
AI2 Adquirir y mantener
software aplicativo
Parcialmente AI2.1 Diseño de Alto Nivel
AI2.2 Diseño Detallado
AI2.9 Administración de los
Requerimientos de Aplicaciones
AI2.10 Mantenimiento de Software
Aplicativo
AI3 Adquirir y mantener la
infraestructura tecnológica
Parcialmente AI3.1 Plan de Adquisición de
Infraestructura Tecnológica
AI4 Facilitar la operación y
el uso
Parcialmente AI4.1 Plan para Soluciones de
Operación
AI4.2 Transferencia de Conocimiento
a la Gerencia del Negocio
AI4.3 Transferencia de Conocimiento
a Usuarios Finales
AI5 Adquirir recursos de TI Parcialmente AI5.3 Selección de Proveedores
AI5.4 Adquisición de Recursos de TI
AI6 Gestionar cambios Si
AI7 Instalar y acreditar
soluciones y cambios
Parcialmente AI7.3 Plan de Implantación
AI7.5 Conversión de Sistemas y
Datos
AI7.8 Promoción a Producción
AI7.9 Revisión Posterior a la
Implantación
DS1 Definir y gestionar los
niveles de servicio
Parcialmente DS1.4 Acuerdos de Niveles de
Operación
DS1.6 Revisión de los Acuerdos de
Niveles de Servicio y de los
Contratos
DS2 Gestionar los servicios
de terceros
Si
41
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
DS3 Gestionar el
desempeño y la capacidad
Parcialmente DS3.4 Disponibilidad de Recursos de
TI
DS3.5 Monitoreo y Reporte
DS4 Garantizar la
continuidad del servicio
Si
DS5 Garantizar la seguridad
de los sistemas
Si
DS6 Identificar y asignar
costos
No DS6.1 Definición de Servicios
DS6.2 Contabilización de TI
DS6.3 Modelación de Costos y
Cargos
DS6.4 Mantenimiento del Modelo de
Costos
DS7 Educar y entrenar a los
usuarios
Parcialmente DS7.3 Evaluación del Entrenamiento
Recibido
DS8 Gestionar la mesa de
servicios y los incidentes
Si
DS9 Gestionar la
configuración
Si
DS10 Gestionar problemas Parcialmente DS10.3 Cierre de Problemas
DS10.4 Integración de las
Administraciones de Cambios,
Configuración y Problemas
DS11 Gestionar datos Si
DS12 Gestionar el ambiente
físico
Si
DS13 Gestionar las
operaciones
Parcialmente DS13.2 Programación de Tareas
DS13.3 Monitoreo de la
Infraestructura de TI
DS13.4 Documentos Sensitivos y
Dispositivos de Salida
42
Proceso COBIT Versión 4.1 Incluido en la Norma
NTE INEN-ISO/IEC
27001:2009
(si/no/parcialmente)
Objetivos de control de COBIT no
considerados en la Norma NTE
INEN-ISO/IEC 27001:2009
ME1 Monitorear y evaluar el
desempeño de TI
Parcialmente ME1.1 Enfoque del Monitoreo
ME1.3 Método de Monitoreo
ME1.4 Evaluación del Desempeño
ME1.5 Reportes al Consejo Directivo
y a Ejecutivos
ME1.6 Acciones Correctivas
ME2 Monitorear y evaluar el
control interno
Si
ME3 Garantizar el
cumplimiento de requisitos
externos
Parcialmente ME3.2 Optimizar la Respuesta a
Requerimientos Externos
ME3.5 Reportes Integrados
ME4 Proporcionar gobierno
de TI
Parcialmente ME4.1 Establecimiento de un Marco
de Gobierno de TI
ME4.2 Alineamiento Estratégico
ME4.3 Entrega de Valor
ME4.4 Administración de Recursos
ME4.5 Administración de Riesgos
ME4.6 Medición del Desempeño
Tabla 1-7 – Mapeo entre los Objetivos de Control de COBIT y los Controles de la Norma INEN-
ISO/IEC 27001 [18]
Se puede apreciar en la Tabla 1-7 que varios objetivos de control de COBIT no son
considerados por la norma NTE INEN-ISO/IEC 27001, es decir que si se desea
utilizar COBIT para la gestión de la seguridad de la información, se estaría
implementando objetivos de control que no necesariamente aportarían a la
protección de los activos de información, significando esto un gasto innecesario de
recursos y tiempo.
Como ventaja sobre COBIT la norma NTE INEN-ISO/IEC 27001 es certificable, lo
que incrementa el prestigio y la confianza de usuarios y clientes en la organización
certificada. Además, si lo que se desea es específicamente crear un sistema de
43
gestión de seguridad, la mejor opción sería la norma NTE INEN-ISO/IEC 27001
debido a que define su propio proceso de gestión del riesgo y un conjunto de
controles de seguridad. En cambio COBIT se encuentra en un nivel más alto de
gestión y aunque también abarca la seguridad de la información utiliza un enfoque
más orientado a las necesidades del negocio que específicamente a gestionar la
seguridad de la información desde un enfoque más procedimental y orientado a
gestión de riesgos.
1.2.2.3 OCTAVE
OCTAVE (Operationally Critical Threat, Asset and Vulnerability Evaluation -
Evaluación de Amenazas, Activos y Vulnerabilidades Críticas durante la Operación)
es una metodología para la evaluación de riesgos desarrollada por el CERT
(Computer Emergency Response Team) de la universidad Carnegie Mellon [23]. El
análisis de riesgos se centra en aquellos activos de información que se consideran
críticos y sus amenazas y vulnerabilidades tanto técnicas como organizacionales,
para posteriormente elaborar un plan de mitigación del riesgo basado en prácticas
[24].
OCTAVE se desarrolla siguiendo un proceso que se divide en tres fases y cada fase
posee una serie de actividades:
• Fase 1 – Construir perfiles de amenazas basadas en los activos:
• Fase 2 – Identificar vulnerabilidades en la infraestructura
• Fase 3 – Desarrollar estrategias y planes de seguridad
Para la mitigación del riesgo OCTAVE proporciona un Catálogo de Prácticas que se
divide en dos tipos de prácticas [25]:
• Prácticas Estratégicas (SP)
o Sensibilización y capacitación sobre la seguridad
o Estrategia de Seguridad
o Gestión de Seguridad
o Políticas y regulaciones de seguridad
44
o Gestión de seguridad colaborativa
o Planes de contingencia/Recuperación de desastres
• Prácticas Operacionales (OP)
o Seguridad Física
o Seguridad de tecnología de la información
o Seguridad del personal
En conclusión OCTAVE serviría de apoyo en el proceso de gestión del riesgo de la
norma NTE INEN-ISO/IEC 27000, ya que establece un conjunto de prácticas (que
equivalen a controles en la norma) para la mitigación del riesgo, aun así se considera
que la norma facilita un conjunto de controles más completos para el tratamiento de
la seguridad de la información. Cabe considerar que la norma NTE INEN-ISO/IEC
27000 deja abierta la posibilidad de utilizar cualquier metodología de gestión del
riesgo pero también provee su propia metodología (NTE INEN-ISO/IEC 27005).
Un aspecto a resaltar con respecto a OCTAVE, en comparación con la norma NTE
INEN-ISO/IEC 27000, es que provee una serie de encuestas ya elaboradas que
permiten identificar aquellas prácticas de seguridad ya presentes en los diferentes
niveles de la organización [25].
1.2.2.4 MAGERIT
El uso de los sistemas de información, de las tecnologías de la información y
comunicación (TIC), son usadas por la mayoría de empresas ya sean públicas y
privadas, para poder tener una buena administración de sus recursos y así cumplir
con sus objetivos, pero al igual que día a día aparece una nueva tecnología nace
también un nuevo riesgo junto con ella al que se le debe gestionar con medidas de
seguridad que sustenten la confianza de los usuarios que utilizan estos servicios,
para esto el CSAE (Consejo Superior de Administración Electrónica) ha elaborado y
promueve MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas
de Información). La metodología utilizada para el análisis de riesgos sigue los
siguientes pasos [26]:
45
• Modelo de valor
• Mapa de riesgos
• Declaración de aplicabilidad
• Evaluación de salvaguardas
• Estado de riesgo
• Informe de insuficiencias
• Cumplimiento de normativa
• Plan de seguridad
MAGERIT provee una metodología para la gestión de riesgos con un enfoque
basado en los riesgos derivados del uso de tecnologías de la información, mientras
que la norma NTE INEN-ISO/IEC 27000 establece su propia metodología para la
gestión del riesgo (norma NTE INEN-ISO/IEC 27005 Gestión de riesgo de la
seguridad de la información) con un enfoque basado en la seguridad de la
información, es decir toma en cuenta ya sea los riesgos derivados de la tecnología
de información como los riesgos derivados de factores humanos, ambientales,
físicos, etc., en definitiva considera todos los riesgos que puedan afectar a los activos
de información de la organización.
Tanto la norma NTE INEN-ISO/IEC 27000 como MAGERIT emplean el modelo
PHVA, y de acuerdo a los riesgos, implanta los controles necesarios para mitigarlos.
1.3 JUSTIFICACIÓN DE SELECCIÓN DEL CASO DE ESTUDIO
Es necesaria para el desarrollo del presente proyecto de titulación la selección de
una institución pública ecuatoriana que permita identificar las principales falencias en
cuestiones de seguridad de la información.
1.3.1 JUSTIFICACIÓN DE LA SELECCIÓN DEL ILUSTRE MUNICIPIO DEL
CANTÓN RUMIÑAHUI COMO CASO DE ESTUDIO
46
1.3.1.1 Antecedentes
El Ilustre Municipio del Cantón Rumiñahui a través del Señor Alcalde Ing. Héctor
Jácome y el Director de la Dirección de Tecnologías de la Información y
Comunicaciones Ing. Gustavo Barriga han brindado las facilidades necesarias para la
realización del presente proyecto de titulación. Además, han demostrado un gran
interés en la temática presentada ya que se considera como un aporte para la
seguridad de la información en la Dirección de Tecnologías de la Información y
Comunicaciones.
1.3.1.2 Análisis de la Problemática del Municipio del Catón Rumiñahui
La problemática del Municipio del cantón Rumiñahui será abordada utilizando un
análisis FODA. El análisis FODA es una herramienta que permite identificar las
fortalezas, oportunidades, debilidades y amenazas que afectan a una institución, y de
allí obtener una visión más clara de la situación actual del objeto de estudio, para en
función de ello tomar decisiones acordes al objetivo que se desea alcanzar.
A manera general se realizó un análisis FODA con un enfoque centrado en la gestión
de la seguridad de la información, para de esta manera determinar la importancia de
la implementación de un SGSI en la institución, a continuación se obtuvo los
siguientes resultados mostrados en la Tabla 1-8. Cabe resaltar las debilidades y
amenazas fueron deducidas en base a las entrevistas mantenidas con los
funcionarios.
47
FODA de la Seguridad de la Información en el Ilustre Municipio de Rumiñahui
FORTALEZAS OPORTUNIDADES
• La Dirección de Tecnologías de la Información y Comunicaciones no
depende de otras direcciones para la toma de decisiones, es decir, las
iniciativas con respecto a la adquisición de nueva infraestructura
tecnológica, el desarrollo de sistemas o en este caso la implantación de
un SGSI pueden ser tratadas de manera directa con la Coordinación
Municipal
• Toda la información del Municipio se encuentra centralizada en la
Dirección de Tecnologías de la Información y Comunicaciones, motivo
por el cual resulta más sencillo protegerla mediante el uso de controles
de seguridad
• Actualmente se han establecido algunos controles de seguridad física
como es el caso del circuito cerrado de cámaras IP, registro de usuarios
y visitantes a las instalaciones de la Dirección y la vigilancia de la policía
municipal
• Capacitación y concientización del personal del Municipio en aspectos
relacionados con la seguridad de la información
• Definición de nuevas políticas de seguridad e implantación de controles
para la protección de los activos de información
• Establecer procedimientos para el almacenamiento y respaldo de la
información, para dar mantenimiento tanto a equipos de escritorio y de
comunicación y para documentar los nuevos sistemas o las
actualizaciones de aquellos ya en uso
• Cumplir con las normativas y leyes establecidas para la protección de los
derechos de autor mediante la adquisición de licencias
• Definición de un procedimiento formal para el registro y cancelación de
usuarios, así como para la creación de perfiles tomando en cuenta sus
funciones dentro de la Institución con el objetivo de proteger los sistemas
y servicios de información de accesos no autorizados
DEBILIDADES AMENAZAS
• Falta de capacitación de los funcionarios municipales en aspectos
relacionados con la seguridad de la información.
• Falta de controles de seguridad en la información que se maneja
• Inadecuado sistema de respaldo de información o falta de respaldos
• Falta de mantenimiento de todos los equipos
• Resistencia al cambio
• Falta de licencias en los sistemas operativos y software de ofimática
• Falta de documentación de los sistemas y de las actualizaciones
• No se tiene definido los perfiles de usuario
• Ataques internos y externos a la Institución que afecten a la integridad,
disponibilidad y confidencialidad de la información
• Acceso físico no autorizado a las instalaciones de la Institución
• Daños provocados por actividades de terceros
• Fallas en los equipos
• Fuga o revelación de información
• Incumplimiento de leyes
Tabla 1-8 – FODA de la Seguridad de la Información en el Ilustre Municipio de Rumiñahui [27]
48
1.3.1.3 Conclusión
Las instituciones públicas están expuestas a diferentes amenazas de seguridad que
han ocasionado una serie de incidentes que han llegado a ser de conocimiento
público gracias a la prensa (ver Sección 1.1.2). Por este motivo este proyecto se
centra en una institución pública que pueda servir como un reflejo de la realidad de la
seguridad de la información en todas las entidades públicas a nivel nacional, para a
partir de esta realidad poder determinar la importancia y beneficio de la
implementación de un SGSI.
Las debilidades identificadas pueden ser cubiertas mediante la implementación de
algunos controles de la norma NTE INEN-ISO/IEC 27001:2011 como se muestra en
la Tabla 1-9.
Debilidades Controles
Falta de capacitación de los
funcionarios municipales en
aspectos relacionados con la
seguridad de la información.
A.5.2.2 Concientización, formación y capacitación
Falta de controles de seguridad en la
información que se maneja
A.5.1.1 Documento de política de seguridad de la
información
A.5.1.2 Revisión de la política de seguridad de la
información
Inadecuado sistema de respaldo de
información o falta de respaldos
A.10.5.1 Respaldo de la información
A.15.1.3 Protección de los registros de la organización
Falta de mantenimiento de todos los
equipos
A.9.2.4 Mantenimiento de los equipos
Resistencia al cambio A.5.2.2 Concientización, formación y capacitación
Falta de licencias en los sistemas
operativos y software de ofimática
A.7.1.1 Inventario de activos
15.1.2 Derecho de propiedad intelectual
Falta de documentación de los
sistemas y de las actualizaciones
A.7.1.1 Inventario de activos
A.12.4.1 Control del software operativo
A.12.5.1 Procedimiento de control de cambios
49
Debilidades Controles
No se tiene definido los perfiles de
usuario
A.11.1.1 Política de control de acceso
Tabla 1-9 – Controles para Cubrir las Debilidades d el Ilustre Municipio de Rumiñahui [20]
De igual forma para cubrir las amenazas identificadas se puede implementar los
controles especificados en la Tabla 1-10.
Amenazas Controles
Ataques internos y externos a la
Institución que afecten a la integridad,
disponibilidad y confidencialidad de la
información.
A.5.2.2 Concientización, formación y capacitación
A.5.1.1 Documento de política de seguridad de la
información
A.5.1.2 Revisión de la política de seguridad de la
información
A.10.4.1 Controles contra códigos maliciosos
A.12.2.1 Validación de los datos de entrada
A.12.2.2 Control de procesamiento interno
A.12.6.1 Control de las vulnerabilidades técnicas
Acceso físico no autorizado a las
instalaciones de la Institución
A.9.1.1 Perímetro de la seguridad física
A.9.1.2 Controles de acceso físico
A.9.1.3 Seguridad de oficinas, recintos e
instalaciones
Daños provocados por actividades de
terceros.
A.10.2.1 Prestación de servicio
A.10.2.2 Monitoreo y revisión de los servicios por
terceros
Fallas en los equipos
A.9.2.2 Servicios de suministro
A.9.2.3 Seguridad del cableado
A.9.2.4 Mantenimiento en los equipos
Fuga o revelación de información
A.9.2.1 Ubicación y protección de los equipos
A.12.5.4 Fuga de información
50
Amenazas Controles
Incumplimiento de leyes A.15.1.1 Identificación de la ley aplicable
A.15.1.2 Derechos de propiedad intelectual
A.15.1.4 Protección de los datos y privacidad de
la información personal
Tabla 1-10 – Controles para Cubrir las Amenazas del Ilustre Municipio de Rumiñahui [20]
El análisis FODA permitió identificar de manera general algunas oportunidades que
pueden ser explotadas mediante la implementación de un SGSI, así como las
fortalezas que permitirán a la Dirección de Tecnologías de la Información y
Comunicaciones implementar, mantener y mejorar dicho SGSI.
51
CAPITULO 2. ANÁLISIS DEL ESTADO ACTUAL DE
LAS SEGURIDADES DE LA INFORMACIÓN EN EL CASO
DE ESTUDIO
El análisis del estado actual de la seguridad de la información se centra en el
departamento de tecnologías de la información de la institución seleccionada como
caso de estudio, ya que es aquel que brinda soporte y mantenimiento a los servicios
y sistemas de información utilizados en la organización.
A continuación se dará a conocer información sobre la institución y como se
encuentra gestionando actualmente la seguridad de la información.
2.1 ANÁLISIS DE LAS SEGURIDADES DE LA INFORMACIÓN EN EL
DEPARTAMENTO DE TECNOLOGÍA DE LA INSTITUCIÓN
SELECCIONADA
Para el análisis de la seguridad de la información en la institución seleccionada es
necesario conocer como está organizada internamente, cuáles son sus objetivos del
negocio y sus actividades principales. Además, del departamento de tecnología, es
necesario conocer su ubicación dentro de la estructura jerárquica de la organización.
Se propone un método de evaluación del estado de cumplimiento de la norma NTE
INEN-ISO/IEC 27001, que sirve para identificar los problemas en la gestión de la
seguridad de la información y definir posibles soluciones.
2.1.1 CARACTERIZACIÓN DEL ILUSTRE MUNICIPIO DEL CANTÓN
RUMIÑAHUI
El 31 de mayo de 1938 a Sangolquí se la eleva a la categoría de Cantón,
separándola de Quito y se le cambia el nombre por el de Rumiñahui. Se estableció a
Sangolquí como su cabecera, San Rafael, San Pedro de Taboada, Cotogchoa y
Rumipamba como parroquias.
52
2.1.1.1 Misión
“Somos una organización de gobierno y servicio público local que promueve el
desarrollo integral de la comunidad” [28].
2.1.1.2 Visión 2020
“Un cantón moderno, sustentable, respetuoso de la naturaleza, planificado, con una
nueva centralidad, de ciudadanos universales con carácter participativo e incluyente”
[28].
2.1.1.3 Estructura Orgánica
La Figura 2-1 muestra la representación gráfica jerarquizada de las unidades
administrativas que intervienen en la gestión de procesos institucionales.
53
Figura 2-1 - Diagrama de la Estructura Orgánica por Procesos [29]
Los procesos gobernantes direccionan la gestión institucional a través de la
formulación de políticas y estrategias, mediante la expedición de ordenanzas,
reglamentos, normas e instrumentos para el funcionamiento de la organización.
Los procesos habilitantes se clasifican en procesos habilitantes de asesoría y
procesos habilitantes de apoyo, están encaminados a generar productos y servicios
para los procesos gobernantes y agregadores de valor y para sí mismos, viabilizando
la gestión del Gobierno Autónomo Descentralizado Municipal de Rumiñahui.
54
Los procesos agregadores de valor generan, administran y controlan los productos y
servicios primarios destinados a usuarios externos e internos y permiten cumplir con
la misión institucional, constituyen la razón de ser de la Municipalidad.
2.1.1.4 Actividades
Las principales actividades del Ilustre Municipio del Cantón Rumiñahui se detallan a
continuación [27]:
• Gestión de Obras Públicas
• Gestión de Movilidad y Transporte
• Gestión de Avalúos y Catastros
• Gestión de Agua Potable y Alcantarillado
• Gestión de Fiscalización
• Gestión de Control Territorial
• Gestión de Protección Ambiental
• Gestión de Seguridad y Convivencia Ciudadana
• Gestión de Turismo
• Gestión de Educación, Cultura, Deporte y Recreación
• Gestión de Producción y Salud
2.1.1.5 Descripción de la Dirección de Tecnologías de la Información y Comunicaciones
La Dirección de Tecnologías de la Información y Comunicaciones fue creada en el
año 2000, actualmente su misión es: “Elaborar, evaluar y ejecutar planes, programas
y proyectos tecnológicos con el fin de proveer nuevas tecnologías de la información y
comunicaciones que permitan optimizar la gestión institucional, atención a la
comunidad y toma de decisiones, generando calidad, productividad y mejoramiento
continuo, garantizando la integridad de la información, estableciendo normas y
políticas internas para su administración” [29].
La Figura 2-2 muestra cómo está conformada la dirección.
55
Figura 2-2 - Diagrama de la Estructura Orgánica de la Dirección de Tecnologías de la
Información y Comunicaciones [27]
La Dirección de Tecnologías de la Información y Comunicaciones se compone de:
Dirección, Help Desk, Redes y Comunicaciones, Ingeniería de Software,
Administración de BDD y Sistemas.
Para cumplir con las diferentes obligaciones, la dirección cuenta con un staff de
analistas y técnicos cuyo perfil se presenta en la Tabla 2-1.
Cargo Perfil Funciones
Director Ingeniero en
Sistemas
• Planificar, organizar, coordinar y controlar la buena marcha
de la Dirección y de las unidades internas
• Elaborar el plan anual de actividades de la Dirección en
coordinación con las unidades internas; y, controlar y
evaluar su ejecución para proceder a la toma de
decisiones oportunas
• Presentar informes periódicos de actividades y los que
solicitare el Alcalde y Autoridades
• Mantener archivos codificados de leyes, reglamentos,
56
Cargo Perfil Funciones
resoluciones y disposiciones que regulan las actividades
propias de la función y difundir entre las unidades
administrativas involucradas
• Participar en el proceso de planificación a mediano y largo
plazo, así como en el de control, y en la elaboración de las
normas conjuntamente con las otras funciones de la
Municipalidad
• Cumplir las otras funciones que le competen de acuerdo a
la normativa vigente
Secretaria Asesora
Gerencial
• Brindar soporte administrativo y logístico a las unidades
que integran la dependencia
• Mantener un registro de la salida de personal cuando
realizan actividades en las dependencias
• Remitir a la Dirección de Recursos Humanos y
Administración informes sobre las novedades del personal
de la dependencia
• Preparar el calendario anual de vacaciones de las
diferentes unidades de la dependencia
• Coordinar el ingreso y la distribución de la documentación
interna y externa y el despacho de esta documentación
• Organizar el funcionamiento del archivo general de la
dependencia
• Administrar material y útiles de oficina, para ser distribuido
entre el personal de la dependencia
• Recibir y canalizar las distintas demandas de proceso
formulados por las dependencias
• Administrar la Biblioteca de Manuales y otros documentos
de la Dirección
• Organizar y administrar los recursos materiales y
suministros de la Dirección
Técnico
Licenciado
en
Informática
• Revisar, instalar, configurar y optimizar equipos de
computación
• Brindar entrenamiento y soporte en el manejo de
herramientas informáticas de escritorio y aplicaciones a los
57
Cargo Perfil Funciones
usuarios del Municipio
• Realizar mantenimiento preventivo y correctivo de los
equipos de comunicación y computación instalados en la
municipalidad
• Mantener actualizado el inventario de equipos de
computación de la municipalidad
• Coordinar y supervisar la reparación de equipos de
comunicación y computación que se realicen fuera de la
Dirección
Analista de
Sistemas
Ingeniero en
Sistemas
• Analizar, diseñar, construir e implementar sistemas y
aplicaciones informáticas contemplados en el plan
estratégicos de sistemas
• Documentar paso a paso el desarrollo de los sistemas y
aplicaciones
• Generar bancos de datos para la prueba de los nuevos
sistemas y opciones
• Definir frecuencias de ejecución y responsabilidades en
todas las fases del proceso
• Generar manuales de usuario, sistema, operación y otros
de acuerdo a los estándares establecidos
• Realizar pruebas conjuntas con la participación de los
usuarios de los sistemas antes de entrar en producción
• Participar en los procedimientos de simulación del Plan de
Contingencias de la Dirección
• Analizar y definir los nuevos requerimientos de
modificación planteados por los usuarios
• Analizar y mantener los sistemas en producción, por fallas
reportadas
• Documentar paso a paso los cambios realizados a los
sistemas
• Generar bancos de datos para probar los cambios
realizados
• Actualizar los manuales de usuario, sistema operación y
otros
58
Cargo Perfil Funciones
• Brindar asistencia técnica a los usuarios de sistemas en
producción
• Participar en los procedimientos de simulación del plan de
contingencia establecido
Administra
dor de
Redes y
Comunicac
iones
Ingeniero en
Sistemas
• Diseñar y configurar las redes de datos necesarias en las
dependencias municipales
• Monitorear y evaluar la capacidad y el rendimiento de la
red
• Proporcionar el servicio de internet e intranet
• Proporcionar el servicio de correo electrónico
• Inventariar el hardware y software de comunicaciones
incluyendo terminales y componentes remotos y locales de
la red y verificar su funcionamiento
• Realizar la construcción de redes eléctricas y de datos
para redes locales y remotas
• Mantener en óptimas condiciones las redes de
comunicación con las distintas dependencias municipales
• Participar en los procedimientos de simulación del plan de
contingencia establecido
Administra
dor de
Base de
Datos y
Sistemas
Ingeniero en
Sistemas
• Administrar los recursos de hardware y software del Data
Center
• Establecer procedimientos de inicio, recuperación y
respaldo de las librerías del sistema y de usuarios
• Definir y administrar los perfiles de acceso a los sistemas
de producción
• Verificar el software y la documentación de los nuevos
sistemas desarrollados, antes de ser puestos en
producción
• Mantener actualizada la bitácora de operación (procesos
ejecutados, recursos y tiempos utilizados)
• Administrar las bases de datos de los sistemas
• Ejecutar procedimientos de respaldo y recuperación
• Administrar la biblioteca magnética (discos, cintas)
• Participar en los procedimientos de simulación del plan de
59
Cargo Perfil Funciones
contingencia establecido
Tabla 2-1 - Responsables de la Dirección de Tecnolo gías de la Información y Comunicaciones
[27]
Cada uno de los cargos y sus funciones están formalmente documentados en el
Estatuto Orgánico de Gestión Organizacional por Procesos.
2.1.2 ESTADO DE CUMPLIMIENTO DE LOS CONTROLES IMPLANTADOS CON
RESPECTO A LOS CONTROLES DE LA NORMA NTE INEN-ISO/I EC 27001
El análisis del estado actual de la Dirección de Tecnologías de la Información y
Comunicaciones se lo realizó mediante la elaboración de una matriz que permite
determinar el porcentaje de cumplimiento de la norma NTE INEN-ISO/IEC 27001.
Esta matriz considera las características principales de los controles de seguridad
detallados en la norma NTE INEN-ISO/IEC 27002. En la Tabla 2-2 se muestra a
manera de ejemplo un control de la norma NTE INEN-ISO/IEC 27001.
2.1.2.1 Método de evaluación del estado de cumplimiento
La primera columna de la Tabla 2-2 muestra el dominio, en la siguiente columna se
tiene todos los controles que pertenecen al dominio citado, a continuación se detalla
una lista de las características que se obtuvieron de la norma NTE INEN-ISO/IEC
27002 para dicho control. Algunas características son ampliadas en controles
específicos, los cuales se muestran en la cuarta columna. En la quinta columna se
utiliza el valor ‘1’ para representar que si se está cumpliendo una característica
determinada, mientras que el valor ‘0’ indica el no cumplimiento de la característica
(las características son lo suficientemente puntuales para no permitir otro valor
intermedio a ‘0’ o ‘1’). Para finalizar, en la última columna se presenta el porcentaje
de cumplimiento del control evaluado. El Anexo 1 presenta en detalle el estado de
cumplimiento de todos los controles de la norma.
60
Dominio Control Característica Correspondientes Cumple Porcentaje de
cumplimiento
Seguridad
de los
recursos
humanos
A.8.1.3
Términos y
condiciones
laborales
Firma de un acuerdo de confidencialidad
antes de tener acceso a los servicios 0
25%
Derechos y responsabilidades legales
A.15.1.1 Identificación de la legislación
aplicable
A.15.1.2 Derechos de propiedad
intelectual (DPI)
1
Responsabilidades para la clasificación de la
información y la gestión de los activos
asociados con sistemas y servicios
A.7.2.1 Directrices de la clasificación
A.10.7.3 Procedimientos para el manejo
de la información
0
Responsabilidades para el manejo de la
información recibida de partes externas 0
Responsabilidades de la organización para
el manejo de la información personal
A.15.1.4 Protección de los datos y
privacidad de la información personal 0
Responsabilidades fuera de las
instalaciones de la organización y de las
horas laborales
A.9.2.5 Seguridad de los equipos fuera de
las instalaciones
A.11.7.1 Computación y comunicaciones
móviles
0
Acciones a tomar en caso de incumplimiento
de los requisitos de seguridad A.8.2.3 Proceso disciplinario 1
Duración de los términos y condiciones
laborales después de finalizado el contrato
A.8.3 Terminación o cambio de la
contratación laboral 0
Tabla 2-2 – Ejemplo de Evaluación del Cumplimiento de un Control de la Norma NTE INEN-ISO/IEC 27001
61
En la Tabla 2-2 se está evaluando el estado cumplimiento del control A.8.1.3
Términos y condiciones laborales, que pertenece al dominio A.8 Seguridad de los
recursos humanos. Para este control se obtuvieron ocho características de las cuales
la Dirección de Tecnologías de la Información y Comunicaciones cumple dos, lo que
en términos porcentuales representa un 25% de cumplimiento. Cabe resaltar que la
matriz utilizada considera todos los controles de la norma NTE INEN-ISO/IEC 27001
y no solo aquellos que son aplicables específicamente para la organización, esta
temática en particular se la ampliará en la Sección 3.2.
2.1.2.2 Resultados de la evaluación del estado de cumplimiento por dominio
La documentación provista por la Dirección de Tecnologías de la Información y
Comunicaciones con respecto a los controles de seguridad actualmente implantados,
sirvió de referencia base para determinar el estado de cumplimiento de los controles
de la norma NTE INEN-ISO/IEC 27001 mediante la utilización de la matriz propuesta
para la evaluación del estado de cumplimiento. En la Tabla 2-3 se muestra un
resumen del estado de cumplimiento por dominio.
Dominio Porcentaje de Cumplimiento
Política de Seguridad 6%
Organización de la Seguridad de la Información 6%
Gestión de Activos 15%
Seguridad de los Recursos Humanos 13%
Seguridad Física y del E ntorno 13%
Gestión de Comunicaciones y Operaciones 6%
Control del Acceso 8%
Adquisición, Desarrollo y Mantenimiento del Sistema de
Información 4%
Gestión de los Incidentes de la Seguridad de la Información 13%
Gestión de Continuidad del Negocio 16%
Cumplimiento 9%
Tabla 2-3 – Resumen de la Evaluación del Cumplimien to por Dominio
62
En la Tabla 2-3 se puede apreciar que los porcentajes de cumplimiento se
encuentran entre el 4% y 16%, lo que demuestra la necesidad de la identificación e
implementación de más controles de seguridad de la información, para de esta
manera cubrir al menos el 50% de cumplimiento de cada dominio. Si se desea
alcanzar un mayor porcentaje de cumplimiento se recomienda la creación de un
Sistema de Gestión de Seguridad de la Información (SGSI).
Los resultados obtenidos en la matriz de evaluación del estado de cumplimiento
deben ser considerados como parte del proceso de evaluación del riesgo, ya que
demuestra la presencia de distintas vulnerabilidades en la gestión de la seguridad de
la organización por los bajos porcentajes obtenidos.
2.2 DISCUSIÓN DE PROBLEMAS ENCONTRADOS Y POSIBLES
SOLUCIONES
La evaluación del cumplimiento realizada a la Dirección de Tecnologías de la
Información y Comunicaciones del Ilustre Municipio del Cantón Rumiñahui ha
evidenciado la presencia de algunas problemáticas con respecto a la gestión de la
seguridad de la información. Por cada dominio de la norma NTE INEN-ISO/IEC
27001 se detallan a continuación los problemas encontrados:
1. Política de Seguridad: el porcentaje de cumplimiento de este dominio es del
6%, lo que demuestra la ausencia de documentación y políticas para
garantizar la seguridad de la información. Esto se puede mejorar definiendo de
manera formal una política de seguridad que manifieste los objetivos, alcance
e importancia de la seguridad de la información en la institución, y que
exprese el compromiso por parte de la alcaldía y las direcciones con la
seguridad de la información. Junto con el documento de política de seguridad
se debería crear un plan de revisiones, que permita garantizar la efectividad y
el cumplimiento de la misma.
2. Organización de la Seguridad de la Información: el porcentaje de cumplimiento
de este dominio es del 6%, debido a que no se tienen definidos los
63
responsables de la seguridad de la información, además no existe una
adecuada concientización del personal sobre la seguridad de la información, y
no se firman acuerdos de confidencialidad con terceras partes, clientes y el
personal interno. Se recomienda la creación de un comité o un grupo
encargado de la seguridad de la información, que se encargue de la
asignación de responsabilidades de la seguridad de la información, así como
de difundir e incentivar al personal en el cumplimiento de la política de
seguridad. Se debería implementar procedimientos para comunicar a la
dirección sobre los incidentes de seguridad que ocurran en la institución, y de
ser necesario informar a los clientes o terceras partes. El personal, al
momento de su contratación, debería comprometerse mediante un acuerdo de
confidencialidad a proteger la integridad, confidencialidad y disponibilidad de
la información a él entregada.
3. Gestión de Activos: para este dominio se tiene un 15% de cumplimiento, ya
que se ha definido algunas directrices para el buen uso de activos tales como
el correo electrónico y el internet, pero no se tienen claramente identificados
los responsables de cada activo de información de la institución. La ausencia
de dichos responsables deriva en la no clasificación de la información y por
consiguiente no se tiene definido un procedimiento de etiquetado y manejo de
información. Se debería asignar responsables de la información, para que
estos la clasifiquen en base a su importancia para la institución y el nivel de
protección requerido. Además se debería definir un procedimiento para el
etiquetado físico y electrónico de los activos de información que considere su
clasificación.
4. Seguridad de los Recursos Humanos: el porcentaje alcanzado es del 13%
para este dominio. Se determinó que los derechos y responsabilidades legales
del personal están definidos, además se tiene establecidas algunas acciones
disciplinarias a tomar en caso de violaciones a la seguridad, pero estos puntos
solo representan el cumplimiento de pocas características de los controles de
este dominio, por lo cual se considera necesario mejorar el proceso de
selección del personal a ser contratado, así como también revisar los términos
64
y condiciones laborales del personal actualmente en función. Además se
debería definir un proceso disciplinario formal para sancionar las violaciones
de seguridad del personal y establecer un procedimiento para le terminación
del contrato que exprese las responsabilidades de la terminación, la
devolución de activos y el retiro de los derechos de acceso.
5. Seguridad Física y del Entorno: para este dominio se obtuvo un 13% de
cumplimiento. Los problemas encontrados respecto a este dominio tiene que
ver con la ausencia de controles de acceso físico adecuados, que permitan
hacer un seguimiento del personal y visitantes que acceden a las áreas
críticas de la municipalidad. Además los equipos de procesamiento de
información no están ubicadas en áreas completamente seguras para
protegerlos de acceso no autorizado y amenazas externas o ambientales. Es
recomendable la instalación de los equipos en áreas seguras y con acceso
restringido, también se debería revisar la protección del cableado y los
procedimientos para el mantenimiento de equipos, de tal forma que se
mantenga la seguridad de la información. Por último, se debería considerar la
utilización de una identificación visible que permita diferenciar entre personal
interno y visitantes.
6. Gestión de Comunicaciones y Operaciones: el porcentaje de cumplimiento de
este dominio es del 6%, cabe resaltar que este dominio es el más extenso de
la norma y el porcentaje de cumplimiento resulta ser bajo y denota que pocas
o ninguna característica de los diferentes controles se cumplen. Se
recomienda, según la norma, documentar los procedimientos de operación,
gestionar los cambios, distribuir funciones, separar los ambientes de
desarrollo, prueba y operación, establecer procedimientos para la aceptación
de los sistemas, definir directrices para la protección contra código malicioso,
gestionar los respaldos, definir políticas y procedimientos para el intercambio
de información, verificar el cumplimientos de la ley de comercio electrónico,
gestionar los registros de auditoría y monitorear el uso del sistema.
7. Control de Acceso: este dominio alcanza el 8% de cumplimiento. Las
problemáticas identificadas en cuando a este dominio abarcan casi todos los
65
controles. Principalmente se recomienda crear una política de control de
acceso, la cual sea considerada para la gestión de acceso a los sistemas
operativos y aplicaciones, gestión del acceso a usuarios y la gestión de
acceso a la red.
8. Adquisición, Desarrollo y Mantenimiento del Sistema de Información: el
porcentaje de cumplimiento es del 4%, siendo este es el resultado más bajo
de toda la evaluación. Esto se debe en gran medida a que no se definen
requisitos de seguridad previo al desarrollo de sistemas de información y
tampoco se valida las entradas y salidas de los datos. Se debería analizar y
especificar los requisitos de seguridad para cada uno de los sistemas de
información que se va a adquirir o desarrollar. Además es recomendable
establecer un procedimiento para la gestión de claves, controlar el acceso al
código fuente de los programas y establecer restricciones en los cambios a los
paquetes de software.
9. Gestión de los Incidentes de la Seguridad de la Información: el porcentaje
alcanzado por este dominio es del 13%. No se tiene definidos procedimientos
y responsables de la notificación, registro y tratamiento de los eventos de
seguridad de la información. Se recomienda recolectar evidencia de los
incidentes de seguridad con fines de auditoria y para la retroalimentación y
aprendizaje de las soluciones propuestas.
10. Gestión de Continuidad del Negocio: para este dominio se obtuvo el 16% de
porcentaje de cumplimiento. Este resultado se debe a que no se incluye en los
planes de continuidad del negocio a la seguridad de la información. Se
debería identificar y evaluar los riesgos a los que está expuesta la institución
en aspectos de seguridad de la información, para con estos resultados
mejorar los planes de continuidad del negocio, capacitar al personal y
posteriormente evaluar dichos planes.
11. Cumplimiento: el porcentaje de cumplimiento alcanzado por este dominio es el
9%. No cumple con la documentación de todos los requisitos legales para los
sistemas de comunicación de la organización, además no se tiene definida
una política para la protección de datos personas y se consideran insuficientes
66
las medidas para la protección de los derechos de propiedad intelectual. Se
recomienda concientizar al personal sobre la importancia del uso de software
con licencia para la protección de la información contenida en sus equipos y
verificar que los equipos tengan instalado únicamente aquellas aplicaciones
autorizadas por la dirección. Por último se debería establecer controles de
auditoría de los sistemas de información para prevenir y detectar su uso
inadecuado.
Las soluciones propuestas en cada uno de los dominios se basan en los controles de
cada dominio de la norma NTE INEN-ISO/IEC 27001, cuyas características
principales se presentan en el Anexo 1.
67
CAPITULO 3. DEFINICIÓN DEL PLAN DE GESTIÓN DE
SEGURIDADES DE LA INFORMACIÓN PARA EL CASO
DE ESTUDIO
El Plan de Gestión de Seguridades de la Información comienza con la definición de
un procedimiento para el manejo de documentos del SGSI, posteriormente se
procederá a la identificación del activo de información crítico para la Institución para
el cual se identificará sus vulnerabilidades lógicas y físicas y las amenazas mediante
un hackeo ético no intrusivo [30]. Con los datos obtenidos se procederá con la
evaluación y tratamiento del riesgo. Para finalizar se elaborarán las políticas de
seguridad que conforman el Plan de Gestión de Seguridades de la Información.
A continuación se propone como herramienta para el manejo de documentos del
SGSI a Alfresco.
3.1 DESCRIPCIÓN DE ALFRESCO COMO HERRAMIENTA DE
APOYO EN LA DEFINICIÓN DEL PLAN DE GESTIÓN DE
SEGURIDADES DE LA INFORMACIÓN
La norma NTE INEN-ISO/IEC 27001:2011 establece como requisito para la creación
de un SGSI la definición de un procedimiento para el manejo de documentación que
permita proteger, controlar, versionar y mantener disponibles aquellos documentos
que componen al SGSI.
La gestión de documentos debe abarcar las siguientes actividades [11]:
• Revisar, actualizar y aprobar documentos
• Asegurar que estén identificados los cambios, así como el estado del
documento que contiene la última revisión
• Asegurar que las versiones correspondientes de los documentos estén
disponibles
• Asegurar que los documentos se identifican con facilidad y son legibles
68
• Asegurar que todos los documentos estén disponibles para todo aquel que lo
necesite
• Asegurar que la distribución de documentos está controlada
• Prevenir el uso no intencionado de documentos obsoletos
Estas actividades pueden realizarse de forma manual con la utilización de
documentos impresos o mediante una herramienta informática.
Las leyes ecuatorianas establecen que se debe fomentar el desarrollo y uso de
software no propietario [31], por tal motivo se recomienda utilizar Alfresco como
herramienta informática para la gestión de documentos de un SGSI, ya que
automatiza el procedimiento de gestión documental y es una plataforma de código
abierto.
3.1.1 DEFINICIÓN Y FUNCIONALIDADES DE ALFRESCO
Alfresco es una plataforma de código abierto para la gestión de contenidos en una
organización, especialmente útil durante la automatización de procesos
empresariales que requieren la colaboración y gestión de gran cantidad de
documentos críticos. En la actualidad Alfresco cuenta con más de 7 millones de
usuarios de diferentes países del mundo, gestionando más de 4.000 millones de
archivos electrónicos y ficheros [32].
Las principales funciones que ofrece la gestión de documentos Alfresco incluyen [32]:
• Control de versiones: Varias personas pueden modificar un mismo archivo
electrónico y Alfresco permite identificar quién realizo qué modificación y
cuando. Además se permiten actualización importantes de documentos que
generan versiones del tipo versión 1, versión 2, etc. Así como cambios menos
significativos que generarán versiones del tipo versión 1.1, versión 1.2, etc.
• Visualizaciones previas en línea: No es necesario descargar un archivo para
poder verlo, esto se lo puede realizar en línea. Los formatos soportados
abarcan documentos de Office, imágenes, archivos de audio y video.
69
• Flujo de trabajo eficaz: Alfresco aporta a la gestión de procesos empresariales
con su motor de flujo de trabajo que puede ser configurado para flujos de
trabajo simples (revisión y aprobación de documentos) o de alta complejidad
(flujos compuestos de diferentes fases).
• Integración con Microsoft Office y GoogleDocs: Alfresco provee de la opción
de edición en línea, lo que permite a los usuarios editar fácilmente los
documentos y guardar los cambios, el gestor de documentos de Alfresco se
encargará de crear la nueva versión del documento.
• Grupos y tipos de propiedades: Alfresco tiene establecido un conjunto de
atributos para los documentos almacenados, como título y descripción. Pero
los usuarios pueden agregar nuevos atributos (ejemplo: si se trata de un
Manual de Operaciones se podría agregar los atributos autor y fecha de
creación). Además Alfresco permite agrupar los atributos para facilitar la
creación futura de un nuevo documento con los atributos personalizados.
En las próximas secciones se iniciará con la creación de documentos para el plan de
gestión de seguridades de la información, comenzando con los documentos de
evaluación y tratamiento de riesgos.
3.1.2 ESTRUCTURA SGSI EN EL REPOSITORIO ALFRESCO
La estructura de carpetas establecida en el repositorio Alfresco y ampliada en la
sección 3.3.1 es la siguiente:
• SGSI – Ilustre Municipio del Cantón Rumiñahui
o Documentos Habilitantes
o Alcance del SGSI
o Plan del Proyecto del SGSI
o Plan de Evaluación y Tratamiento de Riesgo
o Controles
70
3.2 SELECCIÓN DE LOS CONTROLES DE SEGURIDAD
ADECUADOS, DE ACUERDO A LA NORMA NTE INEN-ISO/IEC
27002:2009
Partiendo de la identificación del activo de información crítico se procederá a la
ejecución de un hackeo ético [30] no intrusivo que permitirá identificar las mayores
vulnerabilidades y amenazas a las cuales se asocia un riesgo, el cual durante el
tratamiento del riesgo será mitigado mediante la selección de controles de seguridad
de la norma NTE INEN-ISO/IEC 27002:2009. Al finalizar se presentará las
conclusiones sobre el trabajo realizado en este capítulo.
3.2.1 IDENTIFICACIÓN DE ACTIVOS
Las entrevistas realizadas a los funcionarios de la Dirección de Tecnologías de la
Información y Comunicaciones, permitieron determinar que el activo de información
crítico para la institución es el Sistema Integrado de Gestión Administrativa y
Gerencial (SIGAG). Este sistema apoya las principales actividades de la
municipalidad como lo son la contabilidad, presupuestos y recaudaciones.
El desarrollo del sistema SIGAG se realizó bajo los siguientes requerimientos
técnicos:
• Lenguaje: Java 1.6. Tomcat (6.0)
• Framework: Struts 1.3.8
• Interfaz: Ambiente WEB.
• ID de Desarrollo: Netbeans 6.9
• Base de Datos: Postgres 8.3
El sistema SIGAG está formado por 22 módulos que permiten administrar y registrar
la información:
• Administración del Sistema
• Contribuyentes
71
• Planificación
• Catastro Urbano
• Catastro Rural
• Agua Potable
• Contribución de Mejoras
• Obras Publicas
• Recaudación
• Coactivas
• Rentas
• Traspasos de Dominio
• Financiero (Contabilidad-Presupuesto-Tesorería)
• Gerencial
• Activos Fijos
• Inventarios - Bodegas
• Adquisiciones Y Compras
• Módulo De Internet
• RRHH Y Nómina
• Trámites
• Liquidaciones
• Transportes
La Figura 3-1 muestra la pantalla con todos los iconos de ingreso a los distintos
módulos del sistema.
72
Figura 3-1 – Pantalla de Ingreso a los Módulos del Sistema SIGAG [33]
La infraestructura que soporta al sistema SIGAG consta de los activos presentados
en la Tabla 3-1.
Activo Dirección IP
Servidor de Aplicaciones Linux Centos 6 192.168.1.2
Servidor de Base de Datos Linux Centos 5 192.168.1.217
Firewall Fortinet 192.168.200.3
Switch Core Capa 3 192.168.1.240
Tabla 3-1 – Principales Activos que Soportan el Sis tema SIGAG
A partir de los activos citados se procederá a analizar las vulnerabilidades a nivel
lógico y físico de la Dirección de Tecnologías de la Información y Comunicaciones,
centrándose principalmente en aquellas vulnerabilidades relacionadas con el sistema
SIGAG, que fue identificado como el activo de información crítico y para el cual se
propondrá la implementación de controles de seguridad de la información.
73
3.2.2 ANÁLISIS DE VULNERABILIDADES LÓGICAS
A continuación se presenta, en la Tabla 3-2, las vulnerabilidades lógicas3
encontradas en la Dirección de Tecnologías de la Información y Comunicaciones del
Ilustre Municipio de Rumiñahui.
En el Anexo 2 se describen las vulnerabilidades encontradas y los pasos que se
llevaron a cabo para descubrirlas.
Detección de Vulnerabilidades Vulnerabilidad
Recopilación de Información
Información privada publicada en un sitio web
Información desactualizada de www.nic.ec
Nombres de dominios relacionados con IP’s públicas
Nombres de dominios relacionados con IP’s privadas
Mapeo de la Red
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Seguridad en las Contraseñas
Poca fortaleza en el estándar de contraseñas.
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Contraseña permanente en equipos de comunicación
Seguridad del Router
Sistema operativo visible del switch capa 3
Se muestra los puertos abiertos, sus servicios y las versiones
Servicio http permanentemente habilitado
Seguridad en la Red de Área de
almacenamiento
No se encontraron vulnerabilidades
Seguridad del Servidor Web Exploración de directorios habilitada
Tabla 3-2 – Vulnerabilidades Lógicas Encontradas en la Dirección de Tecnologías de la
Información y Comunicaciones
3 Vulnerabilidades Lógicas: Fallos o debilidades en el hardware o software
74
Con esta información se procede a asociar las vulnerabilidades con las amenazas
que pueden explotarlas, la lista de amenazas presentadas en la Tabla 3-3 son
tomadas de la norma NTE INEN-ISO/IEC 27005.
Amenaza Vulnerabilidad
Acceso no autorizado a la red
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Sistema operativo visible del Switch Capa 3
Se muestra los puertos abiertos, sus servicios y las
versiones del Switch Capa 3
Servicio http permanentemente habilitado en el Switch
Capa 3
Acceso no autorizado al sistema de
información
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Código malicioso
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Daños ocasionados durante pruebas
de intrusión
Nombres de dominios relacionados con IP's públicas
Nombres de dominios relacionados con IP's privadas
Daños provocado por actividades de
terceros
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Contraseña permanente en equipos de comunicación
Destrucción de registros Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
75
Amenaza Vulnerabilidad
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Contraseña permanente en equipos de comunicación
Error de usuario
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Escuchas encubiertas
Nombres de dominios relacionados con IP's públicas
Nombres de dominios relacionados con IP's privadas
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Sistema operativo visible del switch capa 3
Se muestra los puertos abiertos, sus servicios y las
versiones del switch capa 3
Servicio http permanentemente habilitado en el switch
capa 3
Falla en los vínculos de
comunicación
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Sistema operativo visible del switch capa 3
Se muestra los puertos abiertos, sus servicios y las
versiones del switch capa 3
Servicio http permanentemente habilitado en el switch
capa 3
Falsificación de registros Nombres de dominios relacionados con IP's públicas
Nombres de dominios relacionados con IP's privadas
Fraudes Información privada publicada en un sitio web
Información desactualizada de www.nic.ec
Fuga o revelación de información
Información privada publicada en un sitio web
Información desactualizada de www.nic.ec
Exploración de directorios habilitada en el servidor web
76
Amenaza Vulnerabilidad
Identidad de usuario camuflada
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Contraseña permanente en equipos de comunicación
Ingeniería social Información privada publicada en un sitio web
Información desactualizada de www.nic.ec
Instalación no autorizada de software
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Interceptación de información
Nombres de dominios relacionados con IP's públicas
Nombres de dominios relacionados con IP's privadas
Información visible de los puertos abiertos
Información visible de los servicios
Información visible de los sistemas operativos
Direcciones IP visibles durante el traceroute
Sistema operativo visible del switch capa 3
Se muestra los puertos abiertos, sus servicios y las
versiones del switch capa 3
Servicio http permanentemente habilitado en el switch
capa 3
Modificación accidental de datos del
sistema de información
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Modificación no autorizada de
registros
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Revelación de contraseñas
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
77
Amenaza Vulnerabilidad
Uso de códigos no autorizados o no
probados
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Uso no autorizado de materiales
patentados
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Uso no autorizado de software
Poca fortaleza en el estándar de contraseñas
No asignación de contraseñas a nivel de BIOS
Única contraseñas para los sistemas y servicios
Falta de seguridad en el acceso a las contraseñas
Tabla 3-3 – Asociación entre Amenazas y Vulnerabili dades Lógicas
3.2.3 ANÁLISIS DE VULNERABILIDADES FÍSICAS
Las vulnerabilidades físicas encontradas en la Dirección de Tecnologías de la
Información y Comunicaciones se presentan en la Tabla 3-4. Para una mejor
comprensión de las vulnerabilidades listadas ver el Anexo 2.
Detección de Vulnerabilidades Vulnerabilidad
Seguridad Física
Llave de acceso a la sala de servidores no es guardada en un
sitio seguro
Espacio insuficiente en el interior y exterior de la sala de
servidores
Carencia de una correcta organización del cableado
Cableado no cuenta con la debida protección
Los equipos no están en un lugar adecuado
Tabla 3-4 - Vulnerabilidades Físicas Encontradas en la Dirección de Tecnologías de la
Información y Comunicaciones
Con esta información se procede a asociar las vulnerabilidades con las amenazas
que pueden explotarlas, la lista de amenazas presentadas en la Tabla 3-5 son
tomadas de la norma NTE INEN-ISO/IEC 27005.
78
Amenaza Vulnerabilidad
Acceso físico no autorizado Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Acceso no autorizado a la red Carencia de una correcta organización del cableado
Cableado no cuenta con la debida protección
Acceso no autorizado al
sistema de información
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Contaminación Los equipos no están en un lugar adecuado
Daños provocado por
actividades de terceros
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Los equipos no están en un lugar adecuado
Destrucción de registros
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Los equipos no están en un lugar adecuado
Errores de mantenimiento
Carencia de una correcta organización del cableado
Cableado no cuenta con la debida protección
Espacio insuficiente en el interior y exterior de la sala de
servidores
Escuchas encubiertas Cableado no cuenta con la debida protección
Falla en los vínculos de
comunicación
Carencia de una correcta organización del cableado
Cableado no cuenta con la debida protección
Fallas en equipos Los equipos no están en un lugar adecuado
Fuga o revelación de
información
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Cableado no cuenta con la debida protección
Los equipos no están en un lugar adecuado
Instalación no autorizada de
software Los equipos no están en un lugar adecuado
79
Amenaza Vulnerabilidad
Modificación accidental de
datos del sistema de
información
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Los equipos no están en un lugar adecuado
Robo
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Los equipos no están en un lugar adecuado
Vandalismo
Llave de acceso a la sala de servidores no es guardada en
un sitio seguro
Los equipos no están en un lugar adecuado
Tabla 3-5 - Asociación entre Amenazas y Vulnerabili dades Lógicas
Se puede apreciar que varias vulnerabilidades pueden ser explotadas por una
amenaza y varias amenazas pueden explotar una misma vulnerabilidad.
3.2.4 EVALUACIÓN Y TRATAMIENTO DE RIESGOS
En esta sección, se definirá y se aplicará una metodología para la evaluación y
tratamiento del riesgo asociado con el activo de información crítico de la Dirección de
Tecnologías de la Información y Comunicaciones.
3.2.4.1 Metodología de análisis de riesgos
El análisis del riesgo se lo realiza a través del uso de un cuadro de evaluación de
riesgos que consta de las columnas que se muestran en la Figura 3-2. Cabe recalcar
que el cuadro de evaluación del riesgo fue completado en base al criterio de los
autores, considerando la información recopilada en entrevistas, documentación y
observación de la Dirección.
80
Figura 3-2 – Cuadro de Evaluación del Riesgo
Se aprecia que la metodología utilizada es cualitativa a pesar del uso de valores
numéricos, ya que cada número representa en realidad una cualidad del riesgo (bajo,
medio, alto, etc). El uso de números permite realizar un cálculo subjetivo sobre el
nivel del riesgo, que servirá para la toma de decisiones en el tratamiento del riesgo.
Descripción de cada columna:
• Nro.: Numero de la fila
• Nombre del activo: Nombre del activo de información crítico identificado en la
Dirección
• Propietario del activo: Persona responsable del activo de información
• Amenaza: Causa Potencial de un incidente no deseado, el cual puede resultar
en daños al sistema o la Institución [16]. Las amenazas consideradas fueron
tomadas de la norma NTE INEN-ISO/IEC 27005:2012
• Vulnerabilidad: Debilidad de un activo que puede ser aprovechado por una
amenaza [16]. Estas vulnerabilidades son aquellas obtenidas durante las
actividades de hackeo ético.
• Integridad: Impacto sobre la integridad del activo de información
• Confidencialidad: Impacto sobre la confidencialidad del activo de información
• Disponibilidad: Impacto sobre la disponibilidad del activo de información
El impacto sobre la integridad, confidencialidad y disponibilidad se cuantifica con
valores de 0, 1 y 2. Donde el valor “0” representa un impacto mínimo, el valor “1”
representa un impacto medio y el valor “2” representa el mayor impacto.
81
• Impacto: Es el grado de afectación para el activo de información, producto de
la materialización de un riesgo. Este es un valor entero resultante del
promedio entre los impactos sobre la integridad, confidencialidad y
disponibilidad.
• Probabilidad: Es la probabilidad de que se materialice el riesgo. Puede tomar
los valores 0,1 y 2. Donde el valor “0” representa una probabilidad baja, el
valor “1” representa una probabilidad media y el valor “2” representa una
probabilidad alta.
• Riesgo: Posibilidad de que una amenaza explote una vulnerabilidad [16]. El
riesgo es el resultado de la suma entre el impacto y la probabilidad, por lo que
puede tomar valores entre 0 y 4
Considerando la descripción realizada para cada una de las columnas del cuadro de
evaluación del riesgo se procede a aplicar la evaluación sobre el activo de
información crítico.
3.2.4.2 Evaluación del riesgo
El cuadro de evaluación del riesgo que se presenta en la Tabla 3-6 muestra los
riesgos de nivel 3 y 4, es decir aquellos riesgos que deberían ser tratados con mayor
prioridad y el menor tiempo posible para evitar graves daños.
82
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
12
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Acceso no
autorizado
al sistema
de
información
Poca fortaleza
en el estándar
de contraseñas
1 2 1 2 1 3
14
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Acceso no
autorizado
al sistema
de
información
Única
contraseñas
para los
sistemas y
servicios
2 2 1 2 1 3
18
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Código
malicioso
Información
visible de los
sistemas
operativos
1 1 2 2 1 3
83
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
28
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Destrucción
de registros
Única
contraseñas
para los
sistemas y
servicios
2 2 0 2 1 3
59
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Identidad
de usuario
camuflada
Única
contraseñas
para los
sistemas y
servicios
2 2 0 2 1 3
76
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Modificació
n accidental
de datos del
sistema de
información
Poca fortaleza
en el estándar
de contraseñas
1 2 0 1 2 3
84
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
78
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Modificació
n accidental
de datos del
sistema de
información
Única
contraseñas
para los
sistemas y
servicios
1 2 0 1 2 3
82
Sistema
Integrado de
Gestión
Administrativa y
Gerencial
(SIGAG)
Ing.
Gustavo
Barriga
Modificació
n no
autorizada
de registros
Falta de
seguridad en el
acceso a las
contraseñas
1 2 1 2 2 4
83
Sistema
Integrado de
Gestión
Administrativa y
Gerencial
(SIGAG)
Ing.
Gustavo
Barriga
Revelación
de
contraseña
s
Poca fortaleza
en el estándar
de contraseñas
2 2 1 2 2 4
85
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
85
Sistema
Integrado de
Gestión
Administrativa y
Gerencial
(SIGAG)
Ing.
Gustavo
Barriga
Revelación
de
contraseña
s
Única
contraseñas
para los
sistemas y
servicios
2 2 1 2 2 4
86
Sistema
Integrado de
Gestión
Administrativa y
Gerencial
(SIGAG)
Ing.
Gustavo
Barriga
Revelación
de
contraseña
s
Falta de
seguridad en el
acceso a las
contraseñas
2 2 2 2 2 4
89
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Uso de
códigos no
autorizados
o no
probados
Única
contraseñas
para los
sistemas y
servicios
1 1 2 2 1 3
86
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
97
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Acceso
físico no
autorizado
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
1 1 2 2 1 3
99
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Acceso no
autorizado
a la red
Cableado no
cuenta con la
debida
protección
1 1 2 2 1 3
100
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Acceso no
autorizado
al sistema
de
información
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
1 1 2 2 1 3
87
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
102
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Daños
provocado
por
actividades
de terceros
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
1 1 2 2 1 3
108
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Errores de
mantenimie
nto
Espacio
insuficiente en
el interior y
exterior de la
sala de
servidores
0 0 2 1 2 3
110
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Falla en los
vínculos de
comunicaci
ón
Carencia de una
correcta
organización del
cableado
0 0 2 1 2 3
88
Nro. Nombre del activo Propietario
del activo
Amenaza Vulnerabilidad Integri
dad
Confiden
cialidad
Disponi
bilidad
Impac
to
Proba
bilidad
Riesgo
117
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Modificació
n accidental
de datos del
sistema de
información
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
1 2 2 2 1 3
119
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Robo
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
0 0 2 1 2 3
121
Sistema
Integrado de
Gestión
Administrativa y
Gerencial (SIGAG)
Ing.
Gustavo
Barriga
Vandalismo
Llave de acceso
a la sala de
servidores no es
guardada en un
sitio seguro
1 1 2 2 1 3
Tabla 3-6 – Evaluación del Riesgo
89
El cuadro de evaluación del riesgo dio como resultado un total de 122 riesgos (ver
Anexo 3), de los cuales 17 riesgos alcanzaron nivel 3 y 4 riesgos alcanzaron el nivel
4.
3.2.4.3 Tratamiento del riesgo: Selección de Controles
La norma NTE INEN-ISO/IEC 27005, propone cuatro opciones para el tratamiento
del riesgo [34]:
1. Elección de controles: tiene por objetivo reducir el nivel del riesgo para a su
vez reducir el impacto y la probabilidad de ocurrencia de daños sobre los
activos de información de la organización
2. Transferencia de riesgos a terceros: consiste en transferir el riesgo a una parte
externa a la organización (Ejemplo: Aseguradora) que se encargará de asumir
las consecuencias en caso de la materialización de un riesgo. También la
organización puede transferir el riesgo al contratar una parte externa que
cuente con los recursos y la experiencia para gestionar el riesgo de manera
más efectiva
3. Evitar el riesgo: consiste en evitar la actividad o acción que produce riesgos
(Ejemplo: Si se determina que un equipo de comunicación genera altos
riesgos para la organización, la forma de evitarlos es eliminando el equipo o
cambiándolo y asumiendo los riesgos relacionados con el cambio)
4. Aceptación del riesgo: esta opción se toma cuando los costos de
implementación de un control de seguridad sobrepasa el valor del activo de
información que se desea proteger o cuando el nivel del riesgo es muy bajo,
en ambos casos la organización asume los daños provocados por la
materialización del riesgo
La Tabla 3-7 muestra los controles seleccionados para los riesgos de nivel 3 y 4, los
riesgos de nivel 1 y 2 pueden ser consultados en el Anexo 4. De las cuatro opciones
para el tratamiento del riesgo se eligió la opción “elección de controles”, ya que los
riesgos encontrados pueden ser mitigados fácilmente con la implementación de los
controles seleccionados, sin necesidad de la intervención de partes externas.
90
Además, es objetivo de este proyecto demostrar la utilidad de los controles de la
norma NTE INEN-ISO/IEC 27002, por lo que aplicar controles únicamente a los
riesgos de niveles 3 y 4 y teniendo en cuenta que el análisis se lo realizó solo al
activo de información crítico, no permitiría ver cambios significativos en el estado
actual de la seguridad de la información en el activo crítico.
Cabe notar que el tratamiento del riesgo puede combinar las cuatro opciones
presentadas, dependiendo del criterio de la organización. Por ejemplo una
organización podría decidir que los riesgos de niveles 0 y 1 se aceptan, los riesgos
de niveles 2 y 3 se mitigan con controles y los riesgos de nivel 4 en adelante se
transfieren a terceros o se eliminan.
91
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
12
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Acceso no
autorizado
al sistema
de
información
Poca fortaleza
en el estándar
de contraseñas
2 1 3 Elección de
Controles
A.11.1.1 Política de control de
acceso, A.11.6.1 Restricción del
acceso a la información, A.15.2.2
Verificación del cumplimiento
técnico, A.11.2.3 Gestión de
contraseñas para usuarios, A.11.3.1
Uso de contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
14
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Acceso no
autorizado
al sistema
de
información
Única
contraseñas
para los
sistemas y
servicios
2 1 3 Elección de
Controles
A.11.1.1 Política de control de
acceso, A.11.6.1 Restricción del
acceso a la información, A.11.2.3
Gestión de contraseñas para
usuarios, A.11.3.1 Uso de
contraseñas, A.11.5.1
Procedimientos de registro de inicio
92
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
18
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Código
malicioso
Información
visible de los
sistemas
operativos
2 1 3 Elección de
Controles
A.10.4.1 Controles contra códigos
maliciosos, A.10.8.1 Políticas y
procedimientos para el intercambio
de información, A.15.2.2 Verificación
del cumplimiento técnico
28
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Destrucción
de registros
Única
contraseñas
para los
sistemas y
servicios
2 1 3 Elección de
Controles
A.15.1.3 Protección de los registros
de la organización, A.11.2.3 Gestión
de contraseñas para usuarios,
A.11.3.1 Uso de contraseñas,
A.11.5.1 Procedimientos de registro
de inicio seguro, A.11.5.3 Sistema de
gestión de contraseñas, A.12.3.2
Gestión de claves
93
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
59
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Identidad
de usuario
camuflada
Única
contraseñas
para los
sistemas y
servicios
2 1 3 Elección de
Controles
A.11.5.1 Procedimientos de registro
de inicio seguro, A.11.5.2
Identificación y autenticación del
usuario, A.11.2.3 Gestión de
contraseñas para usuarios, A.11.3.1
Uso de contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
76
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Modificació
n accidental
de datos del
sistema de
información
Poca fortaleza
en el estándar
de contraseñas
1 2 3 Elección de
Controles
A.8.1.1 Funciones y
responsabilidades, A.10.1.3
Distribución de funciones,A.10.1.1
Documentación de los
procedimientos de operación,
A.10.10.5 Registro de fallas, A.11.2.3
Gestión de contraseñas para
usuarios, A.11.3.1 Uso de
94
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
78
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Modificació
n accidental
de datos del
sistema de
información
Única
contraseñas
para los
sistemas y
servicios
1 2 3 Elección de
Controles
A.8.1.1 Funciones y
responsabilidades, A.10.1.3
Distribución de funciones, A.10.10.5
Registro de fallas, A.11.2.3 Gestión
de contraseñas para usuarios,
A.11.3.1 Uso de contraseñas,
A.11.5.1 Procedimientos de registro
de inicio seguro, A.11.5.3 Sistema de
gestión de contraseñas, A.12.3.2
Gestión de claves
95
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
82
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Modificació
n no
autorizada
de registros
Falta de
seguridad en
el acceso a las
contraseñas
2 2 4 Elección de
Controles
A.15.1.3 Protección de los registros
de la organización, A.11.3.3 Política
de escritorio despejado y de
pantalla despejada, A.11.3.2 Equipo
de usuario desatendido, A.12.3.2
Gestión de claves
83
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Revelación
de
contraseña
s
Poca fortaleza
en el estándar
de
contraseñas
2 2 4 Elección de
Controles
A.11.2.3 Gestión de contraseñas
para usuarios, A.11.3.1 Uso de
contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
85
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
Revelación
de
contraseña
s
Única
contraseñas
para los
sistemas y
servicios
2 2 4
A.11.2.3 Gestión de contraseñas
para usuarios, A.11.3.1 Uso de
contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
96
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
(SIGAG) de contraseñas, A.12.3.2 Gestión de
claves
86
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Revelación
de
contraseña
s
Falta de
seguridad en
el acceso a las
contraseñas
2 2 4 Elección de
Controles
A.11.2.3 Gestión de contraseñas
para usuarios, A.11.3.1 Uso de
contraseñas, A.11.5.1
Procedimientos de registro de inicio
seguro, A.11.5.3 Sistema de gestión
de contraseñas, A.12.3.2 Gestión de
claves
89
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Uso de
códigos no
autorizados
o no
probados
Única
contraseñas
para los
sistemas y
servicios
2 1 3 Elección de
Controles
A.10.1.4 Separación de las
instalaciones de desarrollo, ensayo y
operación, A.10.4.1 Controles contra
códigos maliciosos, A.11.2.3 Gestión
de contraseñas para usuarios,
A.11.3.1 Uso de contraseñas,
A.11.5.1 Procedimientos de registro
de inicio seguro, A.11.5.3 Sistema de
gestión de contraseñas, A.12.3.2
97
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
Gestión de claves
97
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Acceso
físico no
autorizado
Llave de
acceso a la sala
de servidores
no es
guardada en
un sitio seguro
2 1 3 Elección de
Controles
A.9.1.1 Perímetro de la seguridad
física, A.9.1.2 Controles de acceso
físico, A.9.1.3 Seguridad de oficinas,
recintos e instalaciones, A.9.1.5
Trabajo en áreas seguras
99
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Acceso no
autorizado
a la red
Cableado no
cuenta con la
debida
protección
2 1 3 Elección de
Controles
A.11.1.1 Política de control de
acceso, A.11.4.6 Control de
conexión a las redes, A.10.6.1
Controles de las redes, A.9.2.3
Seguridad del cableado
100
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
Acceso no
autorizado
al sistema
de
información
Llave de
acceso a la sala
de servidores
no es
guardada en
2 1 3 Elección de
Controles
A.11.1.1 Política de control de
acceso, A.11.6.1 Restricción del
acceso a la información, A.9.1.1
Perímetro de la seguridad física,
A.9.1.2 Controles de acceso físico,
98
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
(SIGAG) un sitio seguro A.9.1.3 Seguridad de oficinas,
recintos e instalaciones, A.9.1.5
Trabajo en áreas seguras
102
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Daños
provocado
por
actividades
de terceros
Llave de
acceso a la sala
de servidores
no es
guardada en
un sitio seguro
2 1 3 Elección de
Controles
A.6.2.1 Identificación de riesgos
relacionados con las partes externas,
A.9.1.2 Controles de acceso físico,
A.9.1.3 Seguridad de oficinas,
recintos e instalaciones, A.9.1.5
Trabajo en áreas segura
108
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Errores de
mantenimie
nto
Espacio
insuficiente en
el interior y
exterior de la
sala de
servidores
1 2 3 Elección de
Controles
A.9.2.4 Mantenimiento de los
equipos, A.9.1.3 Seguridad de
oficinas, recintos e instalaciones,
A.9.1.5 Trabajo en áreas segura
99
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
110
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Falla en los
vínculos de
comunicaci
ón
Carencia de
una correcta
organización
del cableado
1 2 3 Elección de
Controles
A.10.8.1 Políticas y procedimientos
para el intercambio de información,
A.10.10.5 Registro de fallas, A.9.2.3
Seguridad del cableado
117
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Modificació
n accidental
de datos del
sistema de
información
Llave de
acceso a la sala
de servidores
no es
guardada en
un sitio seguro
2 1 3 Elección de
Controles
A.8.1.1 Funciones y
responsabilidades, A.10.1.3
Distribución de funciones,A.10.1.1
Documentación de los
procedimientos de operación,
A.10.10.5 Registro de fallas, A.9.1.3
Seguridad de oficinas, recintos e
instalaciones, A.9.1.5 Trabajo en
áreas seguras
100
Nro. Nombre del
activo
Amenaza Vulnerabilidad Impacto Probabili
dad
Ries
go
Opción de
tratamiento
Controles seleccionados
119
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Robo
Llave de
acceso a la sala
de servidores
no es
guardada en
un sitio seguro
1 2 3 Elección de
Controles
A.9.2.1 Ubicación y protección de
equipos, A.9.1.1 Perímetro de la
seguridad física, A.9.1.2 Controles de
acceso físico, A.9.1.4 Protección
contra amenazas externas y
ambientales, A.9.1.3 Seguridad de
oficinas, recintos e instalaciones,
A.9.1.5 Trabajo en áreas seguras
121
Sistema
Integrado de
Gestión
Administrativ
a y Gerencial
(SIGAG)
Vandalismo
Llave de
acceso a la sala
de servidores
no es
guardada en
un sitio seguro
2 1 3 Elección de
Controles
A.9.2.1 Ubicación y protección de
equipos, A.9.1.1 Perímetro de la
seguridad física, A.9.1.2 Controles de
acceso físico, A.9.1.4 Protección
contra amenazas externas y
ambientales, A.9.1.3 Seguridad de
oficinas, recintos e instalaciones,
A.9.1.5 Trabajo en áreas seguras
Tabla 3-7 – Tratamiento del riesgo
101
En la Tabla 3-7 se puede ver que los riesgos de nivel más alto encontrados están
relacionados con el uso de contraseñas y el acceso no autorizado a las oficinas de la
Dirección de Tecnologías de la Información y Comunicaciones. Todos los controles
considerados para el tratamiento del riesgo pertenecen a la norma NTE INEN-
ISO/IEC 27001.
3.2.5 CONCLUSIONES
El análisis realizado permitió llegar a las siguientes conclusiones:
• Debido a que durante el periodo en que se realizaron las reuniones y las
actividades de hackeo ético, los funcionarios de la Dirección de Tecnologías
de la Información y Comunicaciones se encontraban realizando labores de
mantenimiento en la red del Municipio, algunos escaneos no pudieron ser
ejecutados, como en el caso del análisis de la seguridad en el firewall, del cual
no se pudieron obtener vulnerabilidades
• Se determinó que los riesgos de niveles 3 y 4 tienen relación directa con la
gestión de contraseñas y el acceso físico no autorizado a las instalaciones.
Para la mitigación de estos riesgos la norma NTE INEN-ISO/IEC 27001
provee una serie de controles específicos, en los dominios Seguridad Física y
del Entorno y Control del Acceso, para reducir su impacto y probabilidad de
ocurrencia
• La opción seleccionada para el tratamiento del riesgo fue la elección de
controles para todos los riesgos identificados en el activo de información
crítico (Sistema Integrado de Gestión Administrativa y Gerencial), ya que se
busca demostrar el aporte que tienen los controles de la norma NTE INEN-
ISO/IEC 27001 en el mejoramiento del estado actual de la seguridad de la
información en el caso de estudio.
102
3.3 ELABORACIÓN DEL PLAN DE GESTIÓN DE SEGURIDADES DE
LA INFORMACIÓN PARA LA INSTITUCIÓN SELECCIONADA
El plan de gestión de seguridades de la información está compuesto por una serie de
fases y entregables asociados a cada una de ellas, a continuación se describe el
plan del SGSI.
3.3.1 DESCRIPCIÓN DEL PLAN DEL SGSI
Es necesario resaltar que todas las actividades realizadas hasta esta sección
corresponden a la fase de planeación del modelo PHVA que se explica en el
siguiente punto.
3.3.1.1 Descripción del ciclo PHVA
La familia de normas NTE INEN-ISO/IEC 27000:2012 ha adoptado un modelo para la
implementación y mejora de un SGSI denominado PHVA (planear-hacer-verificar-
actuar), dicho modelo se basa en la mejora continua. La Figura 3-3 presenta de
manera gráfica el ciclo que cumple el modelo PHVA.
Figura 3-3 – Modelo PHVA Aplicado a los Procesos de l SGSI [11]
Las cuatro fases del modelo PHVA se explican a continuación [11]:
103
• Planificar: se realiza un estudio actual de la organización y se establecen los
objetivos y metas generales además planes para lograrlos
• Hacer: llevar a cabo lo planificado es decir implementar los planes
• Verificar: si los objetivos y metas se ha logrado
• Actuar: corregir los errores encontrados
El presente proyecto se centra en la fase de planificación, es decir se deja a criterio
de los directores de la organización la implementación, verificación y mejoramiento
del plan. La fase de planeación de un SGSI según la norma NTE INEN-ISO/IEC
27001:2011 consiste en la definición de políticas, objetivos, procesos y
procedimientos del SGSI para gestionar el riesgo y mejorar la seguridad de la
información [11].
3.3.1.2 Fases y Entregables de la norma NTE INEN-ISO/IEC 27003:2012
El plan de gestión de seguridades de la información según la norma NTE INEN-
ISO/IEC 27003:2012 consta de cinco fases y cada una con sus respectivos
entregables, los cuales se muestran en la Figura 3-4 :
104
Figura 3-4 – Fases del Plan de Gestión de Seguridad es de la Información según la Norma NTE
INEN-ISO/IEC 27003:2012 [35]
A continuación se detalla cada fase del plan [35]:
1. Aprobación de la dirección para la iniciación del proyecto: en esta fase se
busca obtener la aprobación y el compromiso por parte de la Dirección de la
institución para iniciar el proyecto SGSI. Los entregables incluyen un caso de
negocio y un borrador del proyecto de SGSI.
2. Definir el alcance del SGSI, límites y políticas del SGSI: consiste en la
definición del alcance y límites organizacionales, de las TIC’s y físicos que
consideren los activos de información críticos. Se tiene como entregable la
descripción del alcance y límites y la política del SGSI.
3. Realizar el análisis de los requerimientos de seguridad de la información: esta
fase consiste en el análisis de la situación actual de la organización para
identificar los requerimientos de seguridad de la información y los activos de
información críticos a ser considerados en el SGSI. Los entregables incluyen
105
los requerimientos de seguridad de la información, los activos críticos de
información y el resultado de la evaluación de la seguridad de la evaluación.
4. Realizar la evaluación del riesgo y la planificación del tratamiento del riesgo:
consiste en definir la metodología de evaluación del riesgo en base a la cual
se seleccionarán los controles pertinentes para su mitigación. Los entregables
de esta fase son la aprobación de la dirección para la implementación del
SGSI, el plan de tratamiento del riesgo y la declaración de aplicabilidad de los
controles seleccionados.
5. Diseño del SGSI: esta fase corresponde con la fase “Hacer” del modelo PHVA
y consiste en el diseño de la seguridad organizacional en base a las opciones
de tratamiento del riesgo seleccionadas, los requerimientos de registro y
documentación y el diseño de controles. Se tiene como entregable el plan de
implementación del proyecto de SGSI
3.3.1.3 Mapeo entre entregables
La Tabla 3-8 muestra un mapeo entre los entregables generados en el presente
proyecto y los entregables establecidos en la norma NTE INEN-ISO/IEC 27003:2012,
además se incluye la ubicación que deberán ocupar dichos documentos en la
estructura de Alfresco.
Fases del Plan de
Gestión de
Seguridades de la
Información según la
norma NTE INEN-
ISO/IEC 27003:2012
Entregables de la
norma NTE INEN-
ISO/IEC
27003:2012
Entregables del Plan
de Gestión de
Seguridades de la
Información Para
Instituciones Públicas
Ecuatorianas
Estructura SGSI en el
repositorio Alfresco
Obtención de la
aprobación de la
dirección para iniciar
un proyecto de SGSI
Aprobación de la
dirección para la
iniciación del
proyecto de SGSI
Solicitud de permiso
para ejecución de
actividades de Ethical
Hacking No Intrusivo
Documentos
Habilitantes
Carta de respuesta Documentos
Habilitantes
106
Fases del Plan de
Gestión de
Seguridades de la
Información según la
norma NTE INEN-
ISO/IEC 27003:2012
Entregables de la
norma NTE INEN-
ISO/IEC
27003:2012
Entregables del Plan
de Gestión de
Seguridades de la
Información Para
Instituciones Públicas
Ecuatorianas
Estructura SGSI en el
repositorio Alfresco
Caso de Negocio Caso de Negocio Plan de proyecto del
SGSI
Definición del alcance,
límites y políticas del
SGSI
El alcance y límites
del SGSI
Plan del Proyecto de
Titulación
Alcance del SGSI
Política del SGSI Política del SGSI Controles
Realización del
análisis de
requerimientos de la
seguridad de la
información
Requerimientos de
seguridad de la
información
Hackeo Ético no
intrusivo
Alcance del SGSI
Activos de
información
Sección 3.2.1 No aplica 4
Resultados de la
evaluación de la
seguridad de la
información
Hackeo Ético no
intrusivo
Alcance del SGSI
Realización de la
evaluación del riesgo
y planificación del
tratamiento del riesgo
Aprobación escrita
de la dirección para
la implementación
del SGSI
El presente proyecto no
contempla la
implementación del plan
No aplica
Plan de tratamiento
del riesgo
Cuadro de tratamiento
del riesgo
Plan de evaluación y
tratamiento de riesgos
Declaración de
aplicabilidad
incluyendo los
objetivos de control
y los controles
seleccionados
Declaración de
aplicabilidad
Controles
4 Algunos entregables solicitados por la norma NTE INEN-ISO/IEC 27003:2012 forman parte del presente proyecto de titulación, motivo por el cual no constan como un documento independiente en la estructura SGSI en el repositorio Alfresco
107
Fases del Plan de
Gestión de
Seguridades de la
Información según la
norma NTE INEN-
ISO/IEC 27003:2012
Entregables de la
norma NTE INEN-
ISO/IEC
27003:2012
Entregables del Plan
de Gestión de
Seguridades de la
Información Para
Instituciones Públicas
Ecuatorianas
Estructura SGSI en el
repositorio Alfresco
Diseño del SGSI
Plan final de
implementación del
proyecto de SGSI
Política para manejo de
información clasificada
Controles
Política de claves Controles
Política de control de
acceso
Controles
Política de intercambio
de información
Controles
Política de pantalla y
escritorio limpios
Controles
Política de uso
aceptable de activos
Controles
Política de uso de
controles criptográficos
Controles
Sección 4.5 No aplica
Tabla 3-8 – Mapeo entre Entregables
3.3.2 DESCRIPCIÓN DE LOS ENTREGABLES
Una vez seleccionados los controles de seguridad que mitigarán los riesgos
relacionados con el activo crítico de la institución se procede a la elaboración de las
políticas de seguridad que componen el plan de gestión de seguridad de la
información. Una política de seguridad la conforman diferentes controles, es decir no
es necesario elaborar un documento formal para cada control.
Las políticas de seguridad que se listan a continuación son aquellas que consideran
a los controles seleccionados en la sección 3.2.4.3:
• Política del SGSI
• Declaración de aplicabilidad
108
• Política para el manejo de información clasificada
• Política de claves
• Política de control de acceso
• Política de intercambio de información
• Política de pantalla y escritorio limpios
• Política de uso aceptable de los activos
• Política del uso de controles criptográficos
Además se incluye el documento de Caso de Negocio.
A continuación se da una descripción de cada una de ellas.
3.3.2.1 Política del SGSI
El propósito de esta Política es definir el objetivo, dirección, principios y reglas
básicas para la gestión de la seguridad de la información.
Esta Política se aplica a todo el Sistema de Gestión de Seguridad de la Información
(SGSI).
Los usuarios de este documento son todos los funcionarios del Ilustre Municipio del
Cantón Rumiñahui, como también todos los participantes externos que cumplan
alguna función en el SGSI.
El Anexo 5 presenta el documento completo.
3.3.2.2 Declaración de Aplicabilidad
El objetivo de este documento es definir qué controles son adecuados para
implementar en el Ilustre Municipio del Cantón Rumiñahui, cuáles son los objetivos
de esos controles y cómo se implementan. También tiene como objetivo aprobar
formalmente la implementación de los controles mencionados.
109
Este documento incluye todos los controles detallados en el Anexo A de la norma
NTE INEN-ISO/IEC 27001:2011. Los controles se aplican a todo el alcance del
Sistema de gestión de seguridad de la información (SGSI).
Los usuarios de este documento son todos funcionarios del Ilustre Municipio del
Cantón Rumiñahui que cumplen una función dentro del SGSI.
El Anexo 6 presenta el documento completo.
3.3.2.3 Política para Manejo de Información Clasificada
El objetivo de este documento es garantizar que se proteja la información en un nivel
adecuado.
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a todos los tipos de información, independientemente
del formato, ya sean documentos en papel o electrónicos, aplicaciones y bases de
datos, conocimiento de las personas, etc.
Los usuarios de este documento son todos los funcionarios del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 7 presenta el documento completo.
3.3.2.4 Política de Claves
El objetivo de este documento es establecer reglas para garantizar la gestión y
utilización seguras de las claves.
Es aplicable a todo el alcance del Sistema de gestión de seguridad de la información
(SGSI); es decir, a todos los puestos de trabajo y sistemas ubicados dentro del
alcance del SGSI.
Los usuarios de este documento son todos los empleados del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 8 presenta el documento completo.
110
3.3.2.5 Política de control de acceso
El objetivo de este documento es definir reglas de acceso para diversos sistemas,
equipos, instalaciones e información en base a los requerimientos de negocios y de
seguridad.
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a todos los sistemas, equipos, instalaciones e
información utilizados dentro del alcance del SGSI.
Los usuarios de este documento son todos los empleados del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 9 presenta el documento completo.
3.3.2.6 Política de Intercambio de Información
El objetivo de este documento es asegurar la seguridad de la información y el
software cuando son intercambiados dentro o fuera de la organización.
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a toda la información y tecnología de la información y
de la comunicación utilizada dentro del alcance del SGSI.
Los usuarios de este documento son empleados de la Dirección de Tecnologías de la
Información y Comunicaciones.
El Anexo 10 presenta el documento completo.
3.3.2.7 Política de Pantalla y Escritorio Limpios
El objetivo de este documento es definir reglas para evitar el acceso no autorizado a
la información en los puestos de trabajo, como también a las instalaciones y a los
equipos compartidos.
111
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a todos los puestos de trabajo, instalaciones y
equipos ubicados dentro del alcance del SGSI.
Los usuarios de este documento son todos los empleados del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 11 presenta el documento completo.
3.3.2.8 Política de Uso Aceptable de los Activos
El objetivo de este documento es definir reglas claras para el uso de los sistemas y
de otros activos de información en el Ilustre Municipio del Cantón Rumiñahui.
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a todos los sistemas y demás activos de información
utilizados dentro del alcance del SGSI.
Los usuarios de este documento son todos los funcionarios del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 12 presenta el documento completo.
3.3.2.9 Política del Uso de Controles Criptográficos
El objetivo de este documento es definir reglas para el uso de los controles y claves
criptográficas para proteger la confidencialidad, integridad, autenticidad e
inviolabilidad de la información.
Este documento se aplica a todo el alcance del Sistema de gestión de seguridad de
la información (SGSI); es decir, a todos los sistemas e información utilizados dentro
del alcance del SGSI.
Los usuarios de este documento son todos los funcionarios del Ilustre Municipio del
Cantón Rumiñahui.
El Anexo 13 presenta el documento completo.
112
3.3.2.10 Caso de Negocio
El objetivo del presente documento es establecer los beneficios para la institución,
definir el alcance del SGSI, definir los factores críticos de éxito, definir el plan inicial
de implementación, recursos requeridos y costos esperados del SGSI.
El Anexo 14 presenta el documento completo.
113
CAPITULO 4. EVALUACIÓN DE APLICABILIDAD DEL
PLAN DE GESTIÓN DE SEGURIDADES DE LA
INFORMACIÓN EN EL CASO DE ESTUDIO
La implementación del plan de gestión de seguridades de la información para
salvaguardar el activo de información crítico requiere una evaluación de aplicabilidad,
la cual justifique la implementación de controles basándose en la identificación de
condiciones tales como restricciones, tiempo, presupuesto y personal necesarios
para el logro de los objetivos establecidos. Además se incluye un análisis de
factibilidad técnica, operática y económica que presenta un estimado de los recursos
que deberán estar disponibles para la implementación del plan y si la Dirección de
Tecnologías de la Información y Comunicaciones cuenta con ellos.
A continuación se muestran los resultados obtenidos al aplicar nuevamente la matriz
de evaluación del estado de cumplimiento de la norma, pero esta vez considerando
los controles de seguridad seleccionados en la sección 3.2.4.3 y posteriormente se
analizan los resultados de la encuesta realizada a los funcionarios de la Dirección de
Tecnologías de la Información y Comunicaciones.
4.1 JUSTIFICACIÓN DE APLICABILIDAD DEL PLAN
La sección 2.1.2.2 presenta el estado de cumplimiento actual de los controles de la
norma NTE INEN-ISO/IEC 27001, ahora se realiza una nueva evaluación aplicando
la misma matriz de evaluación del estado de cumplimiento (ver Anexo 15) de la
sección 2.1.2.1 pero esta vez considerando, además de los controles ya existentes,
los controles de seguridad seleccionados en la sección 3.2.4.3. El resultado de la
nueva evaluación establece un porcentaje de cumplimiento esperado que se muestra
en la Tabla 4-1 y con propósito de comparación también se incluye el porcentaje de
cumplimiento actual.
114
Dominio Porcentaje de Cumplimiento
Actual
Porcentaje de Cumplimiento
Esperado
Política de Seguridad 6% 6%
Organización de la Seguridad
de la Información 6% 16%
Gestión de Activos 15% 15%
Seguridad de los Recursos
Humanos 13% 31%
Seguridad Física y del
Entorno 13% 80%
Gestión de Comunicaciones y
Operaciones 6% 31%
Control del Acceso 8% 50%
Adquisición, Desarrollo y
Mantenimiento del Sistema de
Información
4% 27%
Gestión de los Incidentes de
la Seguridad de la
Información
13% 13%
Gestión de Continuidad del
Negocio 16% 16%
Cumplimiento 9% 66%
Tabla 4-1 – Estado de Cumplimiento Actual y Esperad o por Dominio
Los controles seleccionados durante el tratamiento del riesgo, de ser implementados,
mejorarían el estado actual de la seguridad de la información para el activo de
información crítico. La Tabla 4-1 en la columna Porcentaje de Cumplimento Esperado
muestra los posibles valores que se podría obtener si se implementaran los controles
de seguridad seleccionados. Se aprecia un aumento significativo en los dominios de
Seguridad Física y del Entorno (del 13% al 80%), Cumplimiento (del 9% al 66%) y
Control del Acceso (del 8% al 50%), cabe resaltar que los controles son solo para el
activo de información crítico, es decir que si se establece un alcance mayor para el
115
plan que tome en cuenta todos los activos importantes de la institución, los
resultados esperados para cada dominio sobrepasarían al menos el 50%.
Se aprecia que los dominios que han tenido un mayor aumento en el porcentaje de
cumplimiento son aquellos de tipo técnico, mientras que aquellos de tipo
administrativo han tenido un aumento poco significativo, esto se debe a que el
presente proyecto de titulación tiene un enfoque asesor con respecto a la seguridad
de la información, en donde el poder de decisión está en mano de los funcionarios
del Municipio. Además el hackeo ético no intrusivo realizado permitió la detección de
únicamente vulnerabilidades técnicas en el sistema SIGAG.
El dominio A.5 Política de Seguridad no ha sufrido cambios y se mantiene un 6%,
esto debido a que como se explicó anteriormente la mayor parte de controles de
seguridad seleccionados son de tipo técnico y este dominio en especial trata sobre el
apoyo y las indicaciones que darán las autoridades del Municipio con respecto a la
seguridad de la información basándose en los objetivos institucionales [11], es decir,
se habla de controles de tipo administrativo que parten de la iniciativa de las
autoridades.
El dominio A.6 Organización de la Seguridad de la Información tiene un aumento de
10 puntos porcentuales, pasando del 6% al 16%. Dentro de este dominio se
seleccionó al control A.6.2.1 Identificación de riesgos relacionados con partes
externas, cuya implementación permitiría mejorar la seguridad para este dominio en
un 10%.
El dominio A.7 Gestión de Activos también se mantiene sin variaciones en un 15%,
este dominio trata sobre la responsabilidad sobre los activos y la clasificación de la
información, estas temáticas son estricta responsabilidad de las autoridades del
Municipio, es decir, los controles propuestos son de tipo administrativo y por
consiguiente no fueron considerados, además que para el activo de información
crítico no aportan de manera directa a su protección.
116
El dominio A.8 Seguridad de los Recursos Humanos tuvo un aumento del 13% al
31%, esto debido a que seleccionaron los controles A.8.1.1 Funciones y
Responsabilidades y A.8.2.3 Proceso Disciplinario. Las vulnerabilidades identificadas
en el sistema SIGAG hacen necesario definir los roles y responsabilidades tanto de
empleados como de partes externas para la seguridad de la información y además
definir un proceso disciplinario mediante el cual se sancione a los funcionarios que
incurran en una violación a la seguridad de la información.
El dominio A.9 Seguridad Física y del Entorno es aquel con el mayor aumento en el
porcentaje de cumplimiento, pasando de un 13% a un 80%, esto gracias a que se
seleccionaron 9 de los 13 controles de seguridad propuestos por este dominio. La
seguridad física en la Dirección de Tecnologías de la Información y Comunicaciones
es uno de los aspectos críticos para el cual se considera que se deben implementar
la mayor cantidad de controles de seguridad posibles en busca de proteger el activo
de información crítico. Las vulnerabilidades que incentivaron la selección de los
controles de seguridad pertenecientes a este dominio se detallan en el hackeo ético
(Ver Anexo 2).
El domino A.10 Gestión de Comunicaciones y Operaciones pasó de un porcentaje de
cumplimiento del 6% al 31%, se seleccionaron 9 controles de seguridad que
contribuyeron a este aumento. Los principales aspectos considerados necesarios
dentro de este dominio fueron: la documentación de los procedimientos de
operación, controles contra código malicioso, controles de las redes, seguridad de los
servicios de red, políticas de intercambio de información y el registro de fallas.
El dominio A.11 Control de Acceso se aprecia un aumento del 8% al 50%,
representado este el tercer dominio con mayor aumento en el porcentaje de
cumplimiento, esto debido a que se detectaron diferentes deficiencia en la menera de
controlar el acceso a la Dirección de Tecnologías de la Información y
comunicaciones tanto a nivel físico (oficinas, bodega, sala de servidores, etc.) como
lógico (acceso a los sistemas y equipos). Para este dominio se seleccionaron 10
controles de seguridad que se enfocan principalmente en política de control de
117
acceso, gestión y uso de contraseñas, política de escritorio limpio, protección de
equipos desatendidos, protección de puertos de red, control de acceso a la red e
identificación y autenticación de usuarios.
El dominio A.12 Adquisición, Desarrollo y Mantenimiento del Sistema de Información
pasó de un porcentaje de cumplimento del 4% al 27% ya que se seleccionaron los
controles A.12.3.2 Gestión de Claves, A.12.4.1 Control del Software Operativo y
A.12.5.4 Fuga de Información. Estos tres controles fueron considerados necesarios
durante el proceso de mitigación de riesgo, ya que están directamente relacionados
con las vulnerabilidades descubiertas dentro de este dominio.
El dominio A.13 Gestión de los Incidentes de la Seguridad de la Información se
mantiene sin variaciones en un porcentaje de cumplimiento del 13%, de este dominio
no se seleccionaron controles de seguridad ya que es necesaria la intervención de
las autoridades del Municipio en la toma de decisiones con respecto a cómo se
gestionará los incidentes de seguridad dentro de la institución.
El dominio A.14 Gestión de Continuidad del Negocio mantiene sin variaciones en un
porcentaje de cumplimiento del 16%, de este dominio no se seleccionaron controles
de seguridad ya que es necesaria la intervención de las autoridades del Municipio en
la toma de decisiones sobre la inclusión de la seguridad de la información en los
planes de continuidad del negocio actuales.
El dominio A.15 Cumplimiento pasó un porcentaje de cumplimiento del 9% al 66%,
siendo este el segundo dominio con mayor porcentaje de mejora, debido a la
selección de 5 de sus 13 controles de seguridad propuestos. La implementación de
controles de este dominio es necesaria para mantener la seguridad en aspectos tales
como los derechos de propiedad intelectual, protección de los registros mantenidos
por la institución, protección de los datos y la privacidad de la información personal
de funcionarios y ciudadanos y la prevención del mal uso de los servicios de
procesamiento de información de la municipalidad.
118
Un requisito primordial para el éxito en la implementación de un SGSI es garantizar
que todos los funcionarios de la institución se involucren y comprometan en
mantener e implementar controles de seguridad de la información [16]. Con el
propósito de conocer la predisposición a aceptar e implementar el SGSI se llevó a
cabo una encuesta al personal de la Dirección de Tecnologías de la Información y
Comunicaciones del Municipio en la cual participaron 4 funcionarios, la Tabla
4-2Tabla 4-3 muestra los resultados obtenidos. El Anexo 16 presenta el formato de la
encuesta realizada.
N° Preguntas Respuestas
Muy
poco Poco Medio Alto
Muy
alto
No
responde
1
¿Tiene usted conocimiento sobre
buenas prácticas de gestión de
seguridad de la información o de la
norma NTE INEN-ISO/IEC 27000?
0% 25% 50% 0% 0% 25%
2
¿Estaría usted interesado en recibir
capacitación sobre la seguridad de la
información?
0% 0% 0% 0% 100% 0%
3
¿Cuán importante considera usted la
implementación de controles de
seguridad de la información en su
área de trabajo y sus actividades
laborales?
0% 0% 0% 25% 75% 0%
4
¿Considera usted que la seguridad de
la información en su área de trabajo
es suficiente?
0% 0% 75% 0% 25% 0%
119
N° Preguntas Respuestas
Muy
poco Poco Medio Alto
Muy
alto
No
responde
5
¿Estaría usted interesado en
implementar controles de seguridad
de la información en su área de
trabajo?
0% 0% 25% 0% 75% 0%
6
¿Considera usted necesario que la
Dirección de Tecnologías de la
Información y Comunicaciones
invierta tiempo, dinero y personal en
la implementación de un Sistema de
Gestión de Seguridad de la
Información (SGSI)?
0% 0% 0% 0% 100% 0%
7
¿Estaría usted dispuesto a participar
activamente en la implementación de
un SGSI?
0% 0% 0% 25% 75% 0%
8
¿Considera usted que la
infraestructura tecnológica actual es
suficiente para mantener la seguridad
de la información?
0% 0% 50% 50% 0% 0%
9
¿Conoce usted de iniciativas que se
hayan llevado a cabo con respecto a
la temática de la seguridad de la
información?
75% Conoce sobre iniciativas 25%
120
N° Preguntas Respuestas
Muy
poco Poco Medio Alto
Muy
alto
No
responde
10
¿Cuánto tiempo considera usted
necesario debe invertir la Dirección
de Tecnologías de la información y
Comunicaciones en la
implementación de un SGSI?
1
mes
0%
2
meses
0%
4
meses
50%
6
meses
25%
1
año
0%
25%
Tabla 4-2 - Resultados de la Encuesta
Los puntos positivos a resaltar a partir de la encuesta realizada son: el interés
demostrado por parte de los funcionarios en capacitarse en temáticas sobre
seguridad de la información, el 100% de los participantes contestaron estar muy
dispuestos a recibir capacitaciones. De igual forma, el 100% de los participantes
consideraron muy importante y necesario que la Dirección de Tecnologías de la
Información y Comunicaciones invierta tiempo, dinero y personal en la
implementación de un SGSI y el 75% desea participar activamente en un nivel muy
alto en dicha implementación.
El 75% de los participantes reconocen como muy importante la implementación de
controles de seguridad en sus respectivas áreas de trabajo y el mismo porcentaje
considera que la seguridad en su área de trabajo está en un nivel medio, es decir,
consideran insuficiente la gestión de la seguridad en sus labores. Así mismo, el 50%
de los participantes considera que la infraestructura tecnológica actual, en un nivel
alto, es suficiente para garantizar la protección de los activos de la información.
4.2 IDENTIFICACIÓN DE RESTRICCIONES PARA IMPLEMENTAR
EL PLAN
Existen diferentes restricciones para la implementación del Plan de Gestión de
Seguridades de la Información para Instituciones Públicas Ecuatorianas que podrían
impedir llevar a cabo el plan y obtener los resultados esperados.
121
4.2.1 RESTRICCIONES DE TIEMPO
Para la implementación de los controles seleccionados en la sección 3.2.4.3 se
determinaron las siguientes restricciones de tiempo:
• El periodo de tiempo que toma la aprobación de un proyecto, por parte del
Alcalde o del Concejo Municipal, puede demorar considerablemente, y en
consecuencia los riesgos actualmente evaluados en la institución podrían
cambiar, ya sea por cambios en la infraestructura, software o personal. Por
ejemplo: si la aprobación del plan de seguridad tomara 1 año, durante este
periodo de tiempo se podrían registrar cambios en la organización de la red,
en el switch core o en el firewall, lo que obligaría a la realización de un nuevo
hackeo ético para la identificación de las nuevas vulnerabilidades asociadas a
los cambios realizados. Esto significaría la inversión de no menos de 6 meses
en la actualización del plan con los consecuentes gastos en tiempo de
personal y recursos económicos de aproximadamente 6.000 dólares
(asumiendo un salario de 1000 dólares durante los 6 meses de evaluación).
• En las fechas actuales el Municipio está atravesando por un periodo de
elecciones públicas, es decir que si se da la aprobación por parte de la actual
administración, la implementación del plan debería ser inmediata para concluir
en paralelo con la finalización de la administración actual y que los resultados
sean visibles inmediatamente, pero el tiempo restante resulta ser demasiado
corto (2 meses).
• El tiempo de dedicación del personal de planta consiste en otra restricción, ya
que los funcionarios además de cumplir sus actividades laborales cotidianas
deberán dedicar parte de su tiempo a la implementación del plan y las
capacitaciones, sin que esto afecte su rendimiento diario. Por ejemplo: se cree
necesario que se dedique entre una o dos horas diarias a la implementación
del plan, e incluso de ser necesario incluir algunos fines de semana. El 50%
de los participantes en la encuesta (ver Tabla 4-2) considera que la
implementación del plan de seguridad debería tomar como máximo 4 meses.
122
4.2.2 RESTRICCIONES FINANCIERAS
Las posibles restricciones financieras ligadas a la implementación del plan son:
• El presupuesto asignado para la implementación del plan podría ser muy
reducido, en consecuencia no se podrían implementar todos los controles o su
implementación no alcanzaría la calidad esperada en sus resultados.
• Los beneficios financieros obtenidos gracias a la implementación del plan
podrían no ser los esperados.
4.2.3 RESTRICCIONES TÉCNICAS
Las posibles restricciones técnicas se resumen a continuación:
• El plan de seguridad se enfoca en el activo de información crítico (SIGAG) y la
infraestructura que lo soporta, de llevarse a cabo la implementación de los
controles de seguridad podría causar incompatibilidades técnicas con otros
sistemas no considerados en el plan, lo que afectaría negativamente a la
institución.
• Falta de infraestructura disponible en la Dirección de Tecnologías de la
Información y Comunicaciones que soporte al sistema Alfresco para la gestión
de documentos del SGSI.
4.2.4 RESTRICCIONES DE PERSONAL
A continuación se detalla las posibles restricciones que se podrían presentar con el
personal:
• Falta de personal especializado en seguridad de la información, que se
encarguen tanto de la implementación, asegurar el cumplimiento y mejora del
plan como de la capacitación al resto de funcionarios del Municipio.
• Desinterés por parte del personal en temas de seguridad de la información y
poca predisposición para asumir nuevas responsabilidades con respecto a la
información que manejan.
123
• Espacio y presupuesto insuficiente para el personal encargado de la seguridad
de la información para poder realizar sus actividades.
4.2.5 RESTRICCIONES PARA INTEGRAR CONTROLES NUEVOS Y
EXISTENTES
Las posibles restricciones relacionadas con integrar controles nuevos con los
existentes se listan a continuación
• La implementación de los nuevos controles podría causar conflicto con los
controles existentes en el municipio definidos en el Reglamento de
Administración de Equipos, Productos y Servicios Informáticos aprobado el 28
de diciembre de 2012.
• Los funcionarios pueden considerar a los controles actuales como suficientes
y considerar a los nuevos controles innecesarios y que su implementación
significaría un desperdicio de recursos.
4.3 IDENTIFICACIÓN DE SOLUCIONES PARA IMPLEMENTAR EL
PLAN
Las restricciones presentadas en la sección 4.2 representan posibles impedimentos a
la implementación del Plan de Gestión de Seguridades de la Información para
Instituciones Públicas Ecuatorianas.
4.3.1 SOLUCIONES DE TIEMPO
Esperar un tiempo equivalente al periodo de transición que se toma para posesionar
al nuevo gobierno del cantón o la ratificación del actual gobierno después de las
elecciones. Con la nueva administración posesionada o la actual ratificada en
conjunto con el Director de la Dirección de Tecnologías de la Información y
Comunicaciones se debe iniciar el proceso de aprobación del plan, para lo cual el
Director debe ser el principal responsable de apoyar y apresurar la aprobación, de
forma que el plan actual se implemente con lo ya establecido inicialmente y no se
presenten modificaciones.
124
La aprobación del plan debe realizarse en conjunto con la aprobación del
cronograma de implementación, con lo cual los funcionarios quedan comprometidos
a cumplir en el tiempo establecido los objetivos del plan, evitando al máximo posibles
retrasos.
4.3.2 SOLUCIONES FINANCIERAS
Se debería realizar un análisis de factibilidad económica que garantice que el
presupuesto, solicitado a la administración municipal para la implementación del
plan, sea lo más cercano a lo estrictamente necesario, es decir que se minimice el
desperdicio de recursos económicos.
Hay que aclara a la administración municipal que el plan de seguridad no reportará
beneficios desde el punto de vista de ingresos económicos, sino más bien
representará un ahorro para la institución en caso de darse un ataque a la seguridad
de la información y que éste sea evitado gracias a la implementación de los controles
del plan.
4.3.3 SOLUCIONES TÉCNICAS
Tomar en cuenta para el análisis de factibilidad técnica para el activo de información
crítico su dependencia de otros activos de información, con lo cual se minimice el
riesgo de posibles incompatibilidades técnicas por la implementación del plan de
seguridad.
La adquisición de nueva infraestructura para la instalación del sistema de gestión de
documentos del SGSI podría representar un gasto innecesario, ya que con la
infraestructura actual se podría virtualizar un ambiente independiente dedicado solo a
la gestión documental, evitando así la aparición de nuevos riesgos debido a
integración de nuevos equipos.
4.3.4 SOLUCIONES PARA EL PERSONAL
Creación de un plan de capacitación con exposiciones magistrales sobre el plan de
seguridad de la información complementado con aulas virtuales que contengan
125
talleres que aseguren la comprensión de los temas tratados y donde los funcionarios
puedan obtener mayor información y acceder aun fuera del horario laboral en caso
de dudas. Las exposiciones además de ser informativas deben incentivar el interés
de los funcionarios para concientizarlos sobre la importancia de las buenas prácticas
de seguridad de la información.
4.3.5 SOLUCIONES PARA INTEGRAR CONTROLES NUEVOS CON
CONTROLES EXISTENTES
Reformular el Reglamento de Administración de Equipos, Productos y Servicios
Informáticos para que los controles allí propuestos se adapten al plan de seguridad
de la información, de tal manera que no se presenten inconvenientes al momento de
implementar el plan. Durante el proceso de implementación del plan, se debería
llevar un registro de los posibles incidentes de integración entre controles nuevos y
antiguos, para en base ellos tomar decisiones que solucionen estos problemas.
4.4 ANÁLISIS DE FACTIBILIDAD PARA IMPLEMENTAR EL PLAN
EN LA SITUACIÓN ACTUAL DE LA INSTITUCIÓN
El análisis de factibilidad busca presentar a las autoridades de la municipalidad un
estimado de los recursos que deberán estar disponibles para la implementación del
Plan de Gestión de Seguridades de la Información. Este análisis se basa en tres
aspectos considerados básicos:
• Factibilidad Técnica
• Factibilidad Operativa
• Factibilidad Económica
El grado de factibilidad en estos tres aspectos del plan determinará el éxito de la
implementación. En las secciones siguientes se profundizará en cada uno de estos
aspectos.
126
4.4.1 FACTIBILIDAD TÉCNICA
El análisis de factibilidad técnica permite determinar la disponibilidad y capacidad de
recursos técnicos tales como equipos y software, necesarios para la implementación
del plan.
Para el sistema Alfresco de gestión de documentos se requiere un equipo con las
siguientes características básicas presentadas en la Tabla 4-3:
Características Capacidad Disponibilidad en la Dirección
de Tecnologías de la
Información y Comunicaciones
Sistema Operativo Windows Server 2003 o
superior de 32 o 64 bits
Si
Disco Duro 500 GB Si
Memoria RAM 1 GB Si
Procesador Dual Core 2.5 GHz Si
Tarjeta de Red 100 Mbps Si
Fuente de Alimentación
Ininterrumpida
350VA 120V Si
Tabla 4-3 – Requisitos Básicos para el Sistema Alfr esco
La infraestructura actual de la Dirección de Tecnologías de la Información y
Comunicaciones cuenta con servidores con sistemas operativos Windows Server y
Linux.
Además se requiere la utilización de algunos equipos que permitan ejecutar los
controles de acceso físico a las instalaciones de la Dirección y la protección contra
amenazas del medio ambiente, los cuales se presentan en la Tabla 4-4.
Características Disponibilidad en la Dirección de Tecnologías de
la Información y Comunicaciones
Cámaras de Vigilancia Se dispone de cámaras IP ubicadas en posiciones
estratégicas en las oficinas de la Dirección y en la
sala de servidores.
127
Características Disponibilidad en la Dirección de Tecnologías de
la Información y Comunicaciones
Lector de huellas digitales Tanto a la entrada a las oficinas como en la puerta de
entrada a la sala de servidores se cuenta con un
lector de huellas digitales.
Sistema contra incendios En la sala de servidores de la Dirección se cuenta con
detectores de humo conectados a extintores que se
activarán automáticamente en caso de incendio.
Aire acondicionado Para evitar el sobrecalentamiento de los servidores y
equipos de comunicación se cuenta con aire
acondicionado que mantiene la temperatura baja y
estable en la sala de servidores.
Tabla 4-4 – Equipos Requeridos Contra Acceso Físico no Autorizado y Amenazas Ambientales
En cuanto a la seguridad en el acceso la red, el Municipio cuenta con un Firewall
Fortinet utilizado para tanto en la protección de ataques externo como en el
monitoreo de la actividad de la red interna.
El resultado del análisis demuestra la factibilidad técnica del plan, poniendo en
evidencia que la infraestructura actual es suficiente para dar inicio a la
implementación del mismo y haciendo innecesaria la adquisición de nuevos equipos.
4.4.2 FACTIBILIDAD OPERATIVA
El análisis de factibilidad operativa busca determinar si los funcionarios de la
Dirección de Tecnologías de la Información y Comunicaciones están capacitados y
cuentan con los conocimientos necesarios para llevar a cabo la implementación del
plan de seguridad.
Un aspecto positivo que se identificó durante el desarrollo de las entrevistas es la
apertura y apoyo por parte de las autoridades al presente proyecto, esto facilitaría
considerablemente la implementación del plan de seguridad.
Los funcionarios de la Dirección de Tecnologías de la Información y Comunicaciones
están debidamente capacitados en aspectos de seguridad técnica y gracias a las
128
iniciativas tomadas por parte del Director se encuentran familiarizados con algunos
controles de seguridad de la información (P. ej. Uso de lectores de huellas digitales y
registro de visitas), por lo que la implementación de los nuevos controles de
seguridad que complementarán a los controles actuales no debería presentar
complicaciones en cuanto al desconocimiento y se hace factible su utilización.
Las capacitaciones con exposiciones magistrales del plan ayudarán a familiarizar a
los funcionarios con las buenas prácticas de seguridad de la información, esto se
debe complementar con el uso de aulas virtuales que podrían utilizar plataformas de
aprendizaje online gratuitas.
Para mejorar la comprensión de los controles propuestos se han desarrollado
documentos de políticas de seguridad que deberán ser consultados en caso de
dudas por parte de los funcionarios. Además se recomienda la adquisición de la
norma NTE INEN-ISO/IEC 27002 que describe en detalle cada control de seguridad
seleccionado.
El proceso llevado a cabo para la elaboración del plan de seguridad ha sido
documentado paso a paso en el presente proyecto y sigue una secuencia lógica, lo
que busca facilitar la implementación y la comprensión de los resultados obtenidos a
los funcionarios encargados. Hay que resaltar que el plan se enfoca en un activo de
información crítico, y deja abierta la posibilidad de ampliar el alcance para incluir
otros activos de información.
4.4.3 FACTIBILIDAD ECONÓMICA
El análisis de factibilidad económica tiene como objetivo presentar a la institución un
estimado de costos económicos necesarios para llevar a cabo la implementación del
plan de seguridad y determinar si está en la capacidad de afrontarlos. Es necesario
aclarar que el beneficio reportado por el plan no representa ingresos económicos
para la institución, sino más bien representa un ahorro al evitar los gastos de
recuperación después de un ataque.
129
Una premisa a considerar durante el análisis de factibilidad económica es que los
costos de implementación y mantenimiento de los controles de seguridad no deben
sobrepasar el valor del activo de información que se desea proteger. Para el plan de
seguridad se consideró como activo de información crítico al Sistema Integrado de
Gestión Administrativa y Gerencia y en base a este se plantearon los controles
aplicables.
El plan requiere de la inversión económica en los siguientes recursos presentados en
la Tabla 4-5:
Recurso Costo
Servidor para la gestión de documentos
(Alfresco)
3.000,00$
Firewall 8.000,00$
Cámaras de seguridad 2.500,00$
Lector de huellas digitales 300,00$
Sistema contra incendios en las
instalaciones críticas
500,00$
Aire acondicionado en la sala de servidores 750,00$
Antivirus 1.000,00$
Capacitación 1.000,00$
Implementación de aulas virtuales 500,00$
Norma NTE INEN-ISO/IEC 27000 144,15$
Norma NTE INEN-ISO/IEC 27001 121,61$
Norma NTE INEN-ISO/IEC 27002 207,18$
Protección del cableado con canaletas
plásticas 100 metros
500,00$
Personal encargado de la implementación 16.000,00$
TOTAL 34.522,94$
Tabla 4-5 – Recursos Económicos Estimados Para la I mplementación del Plan de Seguridad
El presupuesto económico estimado para la implementación del plan de seguridad de
la información es de $34.522,94 dólares americanos y comprende todos los recursos
iniciales necesarios.
130
La Dirección de Tecnologías de la Información y Comunicaciones cuenta
actualmente con algunos de los recursos necesarios para la implementación del plan
de seguridad, debido a esto en la Tabla 4-6 no se considera el costo de aquellos
recursos ya existentes y solo se incluye los valores de aquellos recursos que
deberán ser adquiridos.
Recurso Costo Observaciones
Servidor para la gestión de
documentos (Alfresco)
0,00$ El servidor puede ser virtualizado y no incurrir
en gastos ya que la Dirección cuenta con la
infraestructura suficiente. Además Alfresco
posee una licencia Open Source.
Firewall 0,00$ La dirección cuenta con un firewall Fortinet
manejado por el Administrador de Redes y
Comunicaciones.
Cámaras de seguridad 0,00$ La institución cuenta actualmente con un
circuito cerrado de cámaras IP de seguridad.
Lector de huellas digitales 0,00$ Las puertas de ingreso tanto a las oficinas de
los funcionarios como a la sala de servidores
poseen lectores de huellas digitales.
Sistema contra incendios en
las instalaciones críticas
0,00$ La sala de servidores cuenta con un sistema de
detección de humo conectado a extintores que
se activarán automáticamente en caso de
incendio.
Aire acondicionado en la sala
de servidores
0,00$ La temperatura en la sala de servidores
permanece baja y constante mediante la
utilización de dos equipos de aire
acondicionado.
Antivirus 0,00$ La institución tiene contratado licencias del
antivirus Kaspersky para todos los equipos de
los funcionarios.
Capacitación 1.000,00$ Pago a realizarse a un consultor especializado
en la norma para la realización de la
capacitación.
131
Recurso Costo Observaciones
Implementación de aulas
virtuales
500,00$ Las aulas virtuales complementarán a las
capacitaciones de los funcionarios.
Norma NTE INEN-ISO/IEC
27000
144,15$ Material útil para las capacitaciones.
Norma NTE INEN-ISO/IEC
27001
121,61$ Material útil para las capacitaciones.
Norma NTE INEN-ISO/IEC
27002
207,18$ Material útil para las capacitaciones.
Protección del cableado con
canaletas plásticas 100
metros
500,00$ El cableado viaja principalmente por el interior
de las paredes de la institución pero existen
lugares en los cuales son visibles y deben ser
protegidos mediante el uso de canaletas
plásticas.
Personal encargado de la
implementación
16.000,00$ Se considera dos funcionarios de planta
trabajando 8 horas diarias durante 8 meses con
un salario mensual de 1000 dólares.
TOTAL 18.472,94$
Tabla 4-6 – Recursos Económicos Estimados Para la I mplementación del Plan de Seguridad
Se aprecia que los gastos estimados para la implementación del plan alcanzan un
valor de $18.472,94 dólares americanos, es decir, el ahorro para la Dirección es de
$16.050,00 dólares americanos ($34.522,94 - $18.472,94). El presupuesto inicial que
deberá ser presentado por el Director para su aprobación es de $18.472,94 dólares
americanos si se desea considerar los recursos ya existentes, caso contrario el
presupuesto inicial solicitado debería ser de $34.522,94 dólares americanos.
4.5 GUÍA DE IMPLEMENTACIÓN
La implementación del plan debe seguir la secuencia de actividades que se muestran
en la Figura 4-1, cabe señalar que se pueden agregar otras dependiendo de las
necesidades de la institución. Los funcionarios encargados de la ejecución de las
actividades son el Director, el Administrador de Redes y Comunicaciones y el
Administrador de Base de Datos y Sistemas.
132
1. Identificación de marco legal: Investigación sobre todas las normas, leyes y
reglamentos vigentes en el Ecuador (ver Sección 1.1.3)
2. Evaluación del estado actual de la seguridad de la información: Esta actividad
consiste en la utilización de la matriz de estado de cumplimiento para
determinar el porcentaje de cumplimiento de la norma NTE INEN-ISO/IEC
27001 (ver Sección 2.1.2)
3. Aprobación del plan de seguridad y presupuesto por parte del alcalde
4. Instalación de Alfresco para la gestión de documentos: La definición de un
procedimiento para el manejo de documentación es un requisito primordial
para la creación de un SGSI (ver Sección 3.1)
5. Identificación de activos de información: Seleccionar aquellos activos de
información a ser protegidos en base a su importancia y criticidad para la
institución (ver Sección 3.2.1).
6. Análisis de vulnerabilidades lógicas: Descubrimiento y análisis de
vulnerabilidades lógicas relacionadas con los activos de información y sus
amenazas asociadas (ver Sección 3.2.2)
7. Análisis de vulnerabilidades físicas: Descubrimiento y análisis de
vulnerabilidades lógicas relacionadas con los activos de información y sus
amenazas asociadas (ver Sección 3.2.3)
8. Evaluación del riesgo: Selección de la metodología para el análisis y
evaluación del riesgo (ver Sección 3.2.4.2)
9. Tratamiento del riesgo: Selección de controles de seguridad (ver Sección
3.2.4.3)
10. Elaboración de la política del SGSI (ver Sección 3.3.2.1)
11. Elaboración de la declaración de aplicabilidad (ver Sección 3.3.2.2)
12. Elaboración de la política para manejo de la información clasificada (ver
Sección 3.3.2.3)
13. Elaboración de la política de claves (ver Sección 3.3.2.4)
14. Elaboración de la política de control de acceso (ver Sección 3.3.2.5)
15. Elaboración de la política de intercambio de información (ver Sección 3.3.2.6)
16. Elaboración de la política de Pantalla y Escritorio limpio (ver Sección 3.3.2.7)
133
17. Elaboración de la política de uso aceptable de activos (ver Sección 3.3.2.8)
18. Elaboración de la política del uso de controles criptográficos (ver Sección
3.3.2.9)
19. Elaboración de otras políticas en base a los controles seleccionados: Las
políticas establecidas e incluidas en el plan son aquellas que contienen los
controles de seguridad seleccionados durante el tratamiento del riesgo. Si se
amplía la cantidad de controles, se deberán elaborar las políticas necesarias
que implementen dichos controles.
20. Implementación de aulas virtuales: Herramienta de apoyo para la capacitación
de funcionarios en temas de seguridad de la información
21. Capacitación a los funcionarios
22. Implementación de las políticas de seguridad establecidas
Se estableció como fecha de inicio de la implementación al 2 de junio de 2014 debido
a que la nueva administración del Municipio se posesiona el 14 de mayo de 2014,
luego de lo cual el Director de la Dirección de Tecnologías de la Información y
Comunicaciones deberá solicitar las reuniones pertinentes para presentar el plan y
obtener su aprobación.
134
Figura 4-1 – Guía De Implementación del Plan de Seg uridad de la Información
135
CAPITULO 5. CONCLUSIONES Y
RECOMENDACIONES
5.1 CONCLUSIONES
• La participación de profesionales ecuatorianos en las encuestas
internacionales sobre gestión de la seguridad de la información ha resultado
ser escasa en comparación a otros países de la región. Se asume que
probablemente se debe a dos razones principales: la primera de ellas es el
desinterés en temáticas relacionadas con la seguridad de la información y la
segunda es debido a que la encuesta no fue suficientemente publicitada y
difundida, por ejemplo en redes sociales que podrían haber servido para
incentivar la participación en Ecuador.
• La legislación actual no propone el uso de una norma de seguridad para las
instituciones públicas, pero el análisis de leyes tales como:
o Constitución Política del Ecuador
o Normas de Control Interno de la Contraloría General del Estado
o Ley de Comercio Electrónico, Firmas Electrónicas y Mensajes de Datos
o Ley Orgánica de Transparencia y Acceso a la Información Pública
o Ley del Sistema Nacional de Registro de Datos Públicos
Permitió determinar que en su mayoría obligan a la implantación de controles
de seguridad y la aplicación de normas técnicas, motivo por el cual se
considera que la adopción de la norma NTE INEN-ISO/IEC 27001:2011
permitirá a cualquier institución del sector público cumplir con los requisitos de
seguridad establecidos por las leyes nacionales.
• La organización considerada como caso de estudio tiene controles de
seguridad implementados pero que no han sido formalmente documentados,
por tal razón dichos controles no fueron tomados en cuenta durante el análisis
de estado de cumplimiento de la norma NTE INEN-ISO/IEC 27001, ya que no
se tiene evidencia formal de su implementación.
136
• Durante el periodo en que se realizaron las reuniones y las actividades de
hackeo ético para el descubrimiento de vulnerabilidades lógicas y físicas, los
funcionarios de la Dirección de Tecnologías de la Información y
Comunicaciones se encontraban realizando labores de mantenimiento en la
red del Municipio, algunos escaneos no pudieron ser ejecutados, como en el
caso del análisis de la seguridad en el firewall, del cual no se pudieron obtener
vulnerabilidades
• Se determinó que los riesgos de niveles 3 y 4 tienen relación directa con la
gestión de contraseñas y el acceso físico no autorizado a las instalaciones,
esto se demostró por el alto porcentaje de vulnerabilidades descubiertas en
estos dos aspectos
• Existen cuatro opciones para el tratamiento del riesgo a la seguridad de la
información: elección de controles, transferencia de riesgos a terceros, evitar
el riesgo y la aceptación del riesgo. La opción adoptada fue la elección de
controles para todos los riesgos identificados en el activo de información
crítico (Sistema Integrado de Gestión Administrativa y Gerencial), ya que se
busca demostrar el aporte que tienen los controles de la norma NTE INEN-
ISO/IEC 27002 en el mejoramiento del estado actual de la seguridad de la
información en el caso de estudio
• Durante el desarrollo de la declaración de aplicabilidad se identificó que
existen diferentes controles que no fueron tomados en cuenta debido a que
las vulnerabilidades encontradas en el hackeo ético se centraron en algunos
aspectos técnicos. Estos controles fueron excluidos pero se consideran
necesarios, es decir que el hackeo ético no fue suficiente para determinar
todos los controles que se deben incluir en el plan
• Las políticas de seguridad redactadas en el Plan de Gestión de Seguridades
de la Información (ver Sección 3.3) son aquellas que contienen los controles
de seguridad seleccionados durante el proceso de tratamiento del riesgo, cabe
resaltar que la institución tiene la facultad de crear nuevas políticas o modificar
las que el plan propone dependiendo de la intención de las autoridades de
137
ampliar el alcance del plan (incluir nuevos activos, incluir otras áreas de la
institución, etc.)
138
5.2 RECOMENDACIONES
• Proponer a AESOFT (Asociación Ecuatoriana de Software) y demás
organizaciones interesadas promover la participación tanto de empresas
públicas o privadas y profesionales de las TIC´s en encuestas y foros respecto
a la seguridad de la información, que sirvan de fuente de apoyo para la
obtención de datos reales sobre la situación y realidad actual del Ecuador en
temáticas de seguridad de la información. Se puede tomar como ejemplo la
Encuesta Latinoamericana de Seguridad de la Información
• Se considera que las leyes y normativas ecuatorianas pueden tener varias
falencias (ver Sección 1.1.3), por consiguiente un SGSI basado en la norma
NTE INEN-ISO/IEC 27001:2011 puede servir como control adicional para
reforzar la carencia de leyes relacionadas con la seguridad de la información.
• Empresas y otras instituciones que deseen implementar y gestionar la
seguridad de la información podrían tomar como referencia la norma INEN-
ISO/IEC 27001:2011, esta norma además de ser certificable en el Ecuador es
reconocida a nivel internacional
• Las resoluciones, iniciativas, políticas, etc., que tenga por objetivo la
implantación de controles de seguridad u otros procedimientos que garanticen
la protección de los activos de información deben ser documentadas
formalmente y contra con la debida autorización por parte de la autoridad
pertinente. Esto es principalmente útil al momento de evaluar el estado actual
de la seguridad de la información en la institución (ver Sección 2.1.2), ya que
se tiene constancia de los controles implementados.
• La ejecución de las actividades del hackeo ético no intrusivo se deben llevar a
cabo en conjunto con encargados de la institución que se encuentren
capacitados en los temas a evaluarse, para evitarse falsos negativos en la
detección de vulnerabilidades. Además se debe planificar fechas y horarios en
los cuales no se interrumpan las actividades normales de los involucrados.
• La identificación de vulnerabilidades, dependiendo de la iniciativa de las
autoridades, puede llevarse a cabo de manera más profunda es decir se
139
podría utilizar además del hackeo ético otras herramientas que se
especialicen en el tema del que se desea extraer vulnerabilidades. Un ejemplo
de herramienta especializada es OWASP (Proyecto abierto de seguridad de
aplicaciones web) que podría ser utilizado en la detección de vulnerabilidades
en las aplicaciones web soportadas por la institución
• La institución debe dar la mayor prioridad a la mitigación de aquellos riesgos
de niveles 3 y 4 (según la escala definida en este proyecto), considerandos los
más altos y críticos y que de llegar a materializarse ocasionarían graves
perjuicios a la institución. Los riesgos de niveles entre 0 y 2 según podrían ser
eliminados transferidos a terceros o aceptados según las disposiciones de las
autoridades
• Los controles de seguridad que propone la norma INEN-ISO/IEC 27001:2011
no son obligatorios. Existen otros marcos de trabajo que pueden ser utilizados
durante la selección de controles, pero el análisis realizado en este proyecto
determinó que aquel que aborda específicamente la temática específica de la
seguridad de la información es la norman INEN-ISO/IEC 27001:2011 (ver
Sección 1.2.2)
140
BIBLIOGRAFÍA
[1] Fiscalía General del Estado, «Caso: Ministerio de Ambiente Los 11 procesados
rindieron sus versiones,» 31 Mayo 2012. [En línea]. Available:
http://goo.gl/qyuUHf. [Último acceso: 25 Julio 2013].
[2] Reds. Política y Guayaquil, «Escándalo por afiliaciones en los partidos,» El
Comercio, p. 4, 28 Julio 2012.
[3] G. Saucedo y C. Jeimy, «IV Encuesta Latinoamericana de Seguridad de la
Información Tendencias 2012,» 2012.
[4] Redacción Política, «Dos filtrol del Consejo Electotal fallaron,» El Comercio, p. 3,
31 Julio 2012.
[5] Fiscalía General del Estado, «Presuntos implicados en falsificación de firmas de
registro electoral fueron detenidos,» 14 Agosto 2012. [En línea]. Available:
http://goo.gl/GhN4ej. [Último acceso: 25 Julio 2013].
[6] Fiscalía General del Estado, «Juez acogió pedido fiscal y dictó prisión preventiva
para Alcalde de Riobamba,» 26 Abril 2013. [En línea]. Available:
http://goo.gl/83F1KN. [Último acceso: 25 Julio 2013].
[7] Banco Central del Ecuador, «Banco Central del Ecuador (BCE) desmiente
hackeo de cuenta de la municipalidad de Riobamba,» 12 Abril 2013. [En línea].
Available: http://goo.gl/8sgQ58. [Último acceso: 25 Julio 2013].
[8] Fiscalía General del Estado, «Caso Ministerio del Ambiente: Fiscalía demostrará
delito de peculado en desvío de fondos,» Febrero 2013. [En línea]. Available:
http://goo.gl/0YFQah. [Último acceso: 25 Julio 2013].
[9] Asamblea Constituyente, «Contitución de la República del Ecuador,» Registro
141
Oficial 449 Octubre 2008, 20 Octubre 2008. [En línea]. Available:
http://goo.gl/uwtuQ. [Último acceso: 2013 Junio 29].
[10] Contraloría General del Estado, «Normas de Control Interno para las Entidades,
Organismos del Sector Público y de las Personas Jurídicas de Derecho Privado
que Dispongan de Recursos Públicos,» Registro Oficial 430 Abril 1994, 28 Abril
1994. [En línea]. Available: http://goo.gl/XzgIQ. [Último acceso: 2013 Junio 29].
[11] INEN-ISO/IEC, NTE INEN-ISO/IEC 27001, INEN, 2011.
[12] Congreso Nacional, «Ley de Comercio Electrónico, Firmas Electrónicas Y
Mensajes de Datos,» Registro Oficial 557 Suplemento Abril 2002, 17 Abril 2002.
[En línea]. Available: http://goo.gl/W6D4r. [Último acceso: 29 Junio 2013].
[13] Congreso Nacional, «Ley Orgánica de Transparencia y Acceso a la Información
Pública,» Registro Oficial 337 Suplemento Mayo 2004, 18 Mayo 2004. [En línea].
Available: http://goo.gl/zihtv. [Último acceso: 29 Junio 2013].
[14] V. Chica, «Fundación Ecuador Libre,» [En línea]. Available: http://goo.gl/YgQhP.
[Último acceso: 20 Junio 2013].
[15] Asamblea Nacional, «Ley del Sistema Nacional de Registro de Datos Públicos,»
Registro Oficial 162 Suplemento Marzo 2010, 31 Marzo 2010. [En línea].
Available: http://goo.gl/cedIo. [Último acceso: 29 Junio 2013].
[16] INEN-ISO/IEC, NTE INEN-ISO/IEC 27000, INEN, 2012.
[17] ISO/IEC, ISO/IEC 27037:2012, Geneva: ISO/IEC, 2012.
[18] IT Governance Institute, «Alineando COBIT 4.1, ITIL V3 e ISO/IEC 27002 en
beneficio del negocio,» ISACA, 2008. [En línea]. Available: http://goo.gl/DaIGZ.
[Último acceso: 23 julio 2013].
142
[19] OSIATIS, «ITIL - Gestión de Servicios TI,» OSIATIS S.A., [En línea]. Available:
http://goo.gl/6jan3b. [Último acceso: 31 Julio 2013].
[20] INEN-ISO/IEC, INEN-ISO/IEC 27002, INEN, 2009.
[21] IT Governance Institute, COBIT 4.1, Rolling Meadows, 2007.
[22] V. Arora, «Comparing different information security standards: COBIT vs. ISO
27001,» Carnegie Mellon University Qatar, 2010. [En línea]. Available:
http://qatar.cmu.edu/media/assets/CPUCIS2010-1.pdf. [Último acceso: 23 Julio
2013].
[23] Computer Emergency Response Team, «OCTAVE Criteria, Versión 2.0,» CERT
- Software Engineering Institute, Diciembre 2001. [En línea]. Available:
http://www.cert.org/octave/. [Último acceso: 23 Julio 2013].
[24] R. Gómez, D. H. Pérez, Y. Donoso y A. Herrera, «Metodología y gobierno de la
gestión de riesgos de tecnologías de la información,» Universidad de los Andes,
Junio 2010. [En línea]. Available:
https://revistaing.uniandes.edu.co/pdf/A10%2031.pdf. [Último acceso: 23 Julio
2013].
[25] Computer Emergency Respinse Team, «OCTAVE Catalog of Practices, Version
2.0,» CERT - Software Engineering Institute, Octubre 2001. [En línea]. Available:
http://www.cert.org/octave/. [Último acceso: 06 Agosto 2013].
[26] Ministerio de Hacienda y Administraciones Públicas - Gobierno de España,
MAGERIT – versión 3.0. Metodología de Análisis y Gestión de Riesgos de los
Sistemas de Información. Libro I - Método, Madrid: Ministerio de Hacienda y
Administraciones Públicas, 2012.
[27] Gobierno Autónomo Descentralizado Municipal de Rumiñahui , Plan Estratégico
de Técnología Informática, Sangolquí, 2012.
143
[28] Gobierno Autónomo Descentralizado Municipal de Rumiñahui, «Gobierno
Autónomo Descentralizado Municipal de Rumiñahui,» 2012. [En línea]. Available:
http://www.ruminahui.gob.ec/. [Último acceso: 26 Julio 2013].
[29] Gobierno Autónomo Descentralizado Municipal de Rumiñahui, «Estatuto
Orgánico de Gestión Organizacional por Procesos,» 31 Octubre 2012. [En línea].
Available:
http://www.ruminahui.gob.ec/sites/default/files/3._estatutoorganico2012.swf.
[Último acceso: 22 Agosto 2013].
[30] O. A. A. Naranjo, Análisis de Riesgos y Vulnerabilidades de la Infraestructura
Tecnológica de la Secretaría Nacional de Gestión de Riesgos Utilizando
Metodologías de Ethical Hacking, Quito, 2012.
[31] Asamblea Nacional, «Ley Orgánica de Empresas Públicas,» Registro Oficial 48
Suplemento Octubre 2009, 16 Octubre 2009. [En línea]. Available:
http://goo.gl/mvXIVr. [Último acceso: 9 Enero 2014].
[32] Alfresco Software, Ltd., «Alfresco,» Alfresco Software, Ltd., 24 Mayo 2012. [En
línea]. Available: http://www.alfresco.com/es. [Último acceso: 8 Enero 2014].
[33] TECSERVIN, Manual de Usuarios de SIGAG, Sangolquí, 2011.
[34] INEN-ISO/IEC, NTE INEN-ISO/IEC 27005, INEN, 2012.
[35] INEN-ISO/IEC, INEN-ISO/IEC 27003, INEN, 2012.
144
ANEXOS
ANEXO 1 - Matriz de evaluación del estado de cumplimiento.
ANEXO 2 - Hackeo ético.
ANEXO 3 - Cuadro de evaluación del riesgo.
ANEXO 4 - Cuadro de tratamiento del riesgo.
ANEXO 5 - Política del SGSI.
ANEXO 6 - Declaración de aplicabilidad.
ANEXO 7 - Política para manejo de información clasificada.
ANEXO 8 - Política de claves.
ANEXO 9 - Política de control de acceso.
ANEXO 10 - Política de intercambio de información.
ANEXO 11 - Política de pantalla y escritorio limpios.
ANEXO 12 - Política de uso aceptable de los activos.
ANEXO 13 - Política del uso de controles criptográficos.
ANEXO 14 – Baso de Negocio.
ANEXO 15 - Justificación de aplicabilidad.
ANEXO 16 - Encuesta de aplicabilidad.